周三,来自谷歌的威胁情报研究人员对 Chrome、Safari 和 Internet Explorer 浏览器中自今年年初以来被恶意行为者在不同活动中利用的四个野外 zero-days 漏洞进行了更多研究。
更重要的是,四个 zero-days 漏洞中有三个是由商业提供商设计的,并出售给政府支持的参与者并由其使用,从而导致现实世界攻击的增加。现已修补的漏洞列表如下 -
- CVE-2021-1879:QuickTimePluginReplacement (Apple WebKit) 中的 Use-After-Free
- CVE-2021-21166:音频中的 Chrome 对象生命周期问题
- CVE-2021-30551:V8 中的 Chrome 类型混淆
- CVE-2021-33742:Internet Explorer 越界写入 MSHTML Chrome zero-days 漏洞——CVE-2021-21166 和 CVE-2021-30551——被认为是由同一个攻击者使用的,并作为一次性链接通过电子邮件发送到位于亚美尼亚的目标,链接重定向毫无戒心的用户访问伪装成收件人感兴趣的合法网站的攻击者控制的域。
恶意网站负责在提供第二阶段有效载荷之前对设备进行指纹识别,包括收集有关客户端的系统信息。
当 Google 为 CVE-2021-30551 推出补丁时,Google 威胁分析小组 (TAG) 主管 Shane Huntley 透露,该漏洞是由滥用 CVE-2021-33742 的同一个攻击者利用的,CVE-2021-33742 是一种积极利用的远程代码执行微软在 6 月 8 日补丁星期二更新中解决了 Windows MSHTML 平台中的缺陷。
亨特利此前补充说,这两个 0day 由商业漏洞利用经纪人提供给一个民族国家对手,后者将它们用于对东欧和中东目标的有限攻击。
现在,根据该团队发布的一份技术报告,所有三个 0days 都是“由同一家商业监控公司开发的,该公司将这些功能出售给了两个不同的政府支持的参与者”,并补充说 Internet Explorer 漏洞被用于针对活动的攻击拥有在 Web 浏览器中加载 Web 内容的恶意 Office 文档的亚美尼亚用户。
谷歌没有透露漏洞利用经纪人的身份,也没有透露利用漏洞作为攻击的一部分的两个威胁行为者的身份。
相比之下,Safari zero-days 漏洞涉及一个 WebKit 漏洞,该漏洞可能使攻击者能够处理恶意制作的 Web 内容,从而导致普遍的跨站点脚本攻击。Apple 已于 2021 年 3 月 26 日解决了该问题。
SolarWinds 黑客利用 iOS zero-days漏洞
利用 CVE-2021-1879(谷歌将其归咎于“可能是俄罗斯政府支持的演员”)的攻击是通过通过 LinkedIn 向政府官员发送恶意链接来执行的,当从 iOS 设备点击时,将用户重定向到流氓服务于下一阶段有效负载的域。
值得注意的是,此次攻势也反映了被追踪为 Nobelium 的俄罗斯黑客发起的一波有针对性的攻击浪潮,被发现滥用该漏洞攻击政府机构、智囊团、顾问和非政府组织,作为电子邮件网络钓鱼活动的一部分。
与俄罗斯外国情报局 (SVR) 有关联的威胁行为者 Nobelium 也被怀疑策划了去年年底的SolarWinds 供应链攻击。它还有其他别名,例如 APT29、UNC2452 (FireEye)、SolarStorm (Unit 42)、StellarParticle (Crowdstrike)、Dark Halo (Volexity) 和 Iron Ritual (Secureworks)。
TAG 研究人员 Maddie Stone 和 Clement Lecigne 指出:“到 2021 年的一半,今年已公开披露的攻击中使用了33 个zero-days 漏洞——比 2020 年的总数多了 11 个。” “虽然正在使用的zero-days 漏洞利用数量有所增加,但我们相信更大的检测和披露工作也有助于上升趋势。”
