- Регистрация
- 20 Мар 2019
- Сообщения
- 855
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Специалисты Google опубликовали технические подробности о четырех уязвимостях нулевого дня, которые использовались в этом году для таргетированных хакерских атак. Баги применялись для атак на пользователей браузеров Chrome, Internet Explorer и Safari для iOS.
Речь в отчете специалистов идет о следующих уязвимостях:
К примеру, эксплоиты для уязвимостей CVE-2021-21166 и CVE-2021-30551 в Chrome распространялись при помощи одноразовых ссылок, которые отправляли по почте будущим жертвам. Такие ссылки вели на сайты, имитирующие различные законные ресурсы.
Сходство двух этих вредоносных кампаний заставило специалистов Google предположить, что эксплоиты, скорее всего, были созданы одним и тем же брокером эксплоитов.
Также отчет гласит, что были выявлены атаки с использованием уязвимости CVE-2021-1879, представлявшей угрозу для WebKit для iOS. Эти атаки в Google приписывают «потенциальному злоумышленнику, поддерживаемому российским правительством».
Атаки осуществлялись через LinkedIn Messenger, функцию LinkedIn, которая позволяет пользователям обмениваться сообщениями. Злоумышленники использовали LinkedIn для отправки сообщений с вредоносными ссылками различным правительственным чиновникам из стран Западной Европы. Если жертва открывала такую ссылку через браузер Safari на iOS, эксплоит отключал защиту Same-Origin-Policy, чтобы «похитить аутентификационные файлы cookie нескольких популярных веб-сайтов, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, а затем отправьте их через WebSocket на IP-адрес, контролируемый злоумышленниками».
Данный эксплоит представлял опасность для iOS версий с 12.4 по 13.7, и Google сообщает, что эксплуатация этой же уязвимости была замечен и в других вредоносных кампаниях, задокументированных специалистами компаний Microsoft и Volexity весной текущего года. Тогда эксперты приписали эти атаки русскоязычной хак-группе Nobelium (она же APT29 и Cozy Bear).
Речь в отчете специалистов идет о следующих уязвимостях:
- CVE-2021-21166 и CVE-2021-30551 в Chrome;
- CVE-2021-33742 в Internet Explorer;
- CVE-2021-1879 в WebKit (Safari).
К примеру, эксплоиты для уязвимостей CVE-2021-21166 и CVE-2021-30551 в Chrome распространялись при помощи одноразовых ссылок, которые отправляли по почте будущим жертвам. Такие ссылки вели на сайты, имитирующие различные законные ресурсы.
Также команда экспертов заявила, что проблема CVE-2021-21166 влияла и на движок браузера Safari (WebKit), в силу некоторой общности кодовой базы. Исследователи передали собранную информацию Apple, которая оперативно устранила проблему, присвоив ей идентификатор CVE-2021-1844.
Что касается 0-day уязвимости в IE (CVE-2021-33742), которую Microsoft исправила в июне, Google пишет, что этот баг тоже использовался против неких целей в Армении. Проблему эксплуатировали посредством электронных писем, содержавших вредоносные документы Office. Они загружали веб-контент внутри Office через встраиваемый компонент Internet Explorer. Как и в случае с Chrome, атака включала в себя фингерпринтинг и проверку жертвы, прежде чем злоумышленники переходили к внедрению пейлоада второго этапа.
Сходство двух этих вредоносных кампаний заставило специалистов Google предположить, что эксплоиты, скорее всего, были созданы одним и тем же брокером эксплоитов.
Также отчет гласит, что были выявлены атаки с использованием уязвимости CVE-2021-1879, представлявшей угрозу для WebKit для iOS. Эти атаки в Google приписывают «потенциальному злоумышленнику, поддерживаемому российским правительством».
Атаки осуществлялись через LinkedIn Messenger, функцию LinkedIn, которая позволяет пользователям обмениваться сообщениями. Злоумышленники использовали LinkedIn для отправки сообщений с вредоносными ссылками различным правительственным чиновникам из стран Западной Европы. Если жертва открывала такую ссылку через браузер Safari на iOS, эксплоит отключал защиту Same-Origin-Policy, чтобы «похитить аутентификационные файлы cookie нескольких популярных веб-сайтов, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, а затем отправьте их через WebSocket на IP-адрес, контролируемый злоумышленниками».
Данный эксплоит представлял опасность для iOS версий с 12.4 по 13.7, и Google сообщает, что эксплуатация этой же уязвимости была замечен и в других вредоносных кампаниях, задокументированных специалистами компаний Microsoft и Volexity весной текущего года. Тогда эксперты приписали эти атаки русскоязычной хак-группе Nobelium (она же APT29 и Cozy Bear).
