Изображение: Ryoji Iwata
Исследователи Kaspersky Security обнаружили нового злоумышленника, получившего название PuzzleMaker, который использовал цепочку эксплойтов нулевого дня Google Chrome и Windows 10 в целенаправленных атаках против нескольких компаний по всему миру.
По словам Касперского, атаки, координируемые PuzzleMaker, были впервые обнаружены в середине апреля, когда были скомпрометированы сети первых жертв.
Цепочка эксплойтов нулевого дня, развернутая в кампании, использовала уязвимость удаленного выполнения кода в движке JavaScript Google Chrome V8 для доступа к целевым системам.
Затем злоумышленники PuzzleMaker использовали эксплойт повышения привилегий, специально разработанный для компрометации последних версий Windows 10, злоупотребляя уязвимостью раскрытия информации в ядре Windows ( CVE-2021-31955 ) и ошибкой повышения привилегий Windows NTFS ( CVE-2021). -31956 ), оба исправлены во вторник июньских патчей .
Вредоносное ПО, развернутое с системными привилегиями
Злоумышленники использовали средство уведомлений Windows (WNF) вместе с уязвимостью CVE-2021-31956 для запуска вредоносных модулей с системными привилегиями в скомпрометированных системах Windows 10.«Как только злоумышленники используют эксплойты Chrome и Windows, чтобы закрепиться в целевой системе, модуль stager загружает и запускает более сложный дроппер вредоносного ПО с удаленного сервера», - заявили исследователи .
"Затем этот дроппер устанавливает два исполняемых файла, которые выдают себя за легитимные файлы, принадлежащие ОС Microsoft Windows.
«Второй из этих двух исполняемых файлов - это модуль удаленной оболочки, который может загружать и выгружать файлы, создавать процессы, засыпать в течение определенных периодов времени и удалять себя из зараженной системы».
Chrome и Windows изобилие нулевых дней
Это не первая цепочка эксплойтов нулевого дня Chrome, широко используемая в последние месяцы.Project Zero, команда Google по поиску ошибок нулевого дня, представила крупномасштабную операцию, в ходе которой группа хакеров использовала 11 нулевых дней для атак на пользователей Windows, iOS и Android в течение одного года.
Атаки проводились в рамках двух отдельных кампаний, в феврале и октябре 2020 года, по меньшей мере на десятке веб-сайтов, на которых размещалось два сервера эксплойтов, каждый из которых был нацелен на пользователей iOS и Windows или Android.
Исследователи Project Zero собрали множество информации с серверов эксплойтов, используемых в двух кампаниях, в том числе:
- эксплойты рендерера для четырех ошибок в Chrome, одна из которых все еще была нулевым днем на момент обнаружения
- два эксплойта для выхода из песочницы, использующие три уязвимости нулевого дня в Windows
- «набор для повышения привилегий», состоящий из широко известных эксплойтов n-day для старых версий Android.
- одна полная цепочка эксплойтов, нацеленная на полностью исправленную Windows 10 с использованием Google Chrome
- две частичные цепочки, нацеленные на 2 разных полностью исправленных Android-устройства под управлением Android 10 с использованием Google Chrome и Samsung Browser
- несколько эксплойтов RCE для iOS 11-13 и эксплойт повышения привилегий для iOS 13 (с эксплуатируемыми ошибками вплоть до iOS 14.1)
«Это напоминание о том, что нулевые дни продолжают оставаться наиболее эффективным методом заражения целей».
Индикаторы компрометации (IOC), включая хэши образцов вредоносных программ, можно найти в конце отчета Касперского.
Перевод - GoogleBleeping Computer
Последнее редактирование модератором: