Google TAG waarschuwt voor opkomend Heliconia Exploit Framework voor RCE

Onderzoekers merkten op dat Variston IT stevig in het midden staat van deze prolifererende markt - een ruimte waarin de Verenigde Staten en anderen sancties hebben opgelegd aan organisaties als de beruchte NSO Group, maker van de Pegasus-spionagesoftware. De Heliconia-dreiging bestaat uit drie modules: Heliconia Noise om de Chrome-browser te compromitteren, uit de sandbox te ontsnappen en malware te installeren; Heliconia Soft, een webraamwerk dat een PDF bevat met een Windows Defender-exploit voor CVE-2021-42298 die privilege-escalatie naar SYSTEM en remote code execution (RCE) mogelijk maakt; en het Heliconia Files-pakket dat een volledig gedocumenteerde Firefox-exploitketen voor Windows en Linux bevat, inclusief CVE-2022-26485 voor RCE. Tot nu toe is geen van de modules gezien in huidige aanvallen in het wild, maar de onderzoekers van TAG merkten op dat ze waarschijnlijk in het verleden zijn ingezet, inclusief het gebruik van de exploits die ze bevatten als zero-days voordat ze werden verholpen.