Windows 10 стала мишенью хакеров PuzzleMaker, использующих Chrome zero-days
Исследователи Kaspersky Security обнаружили нового злоумышленника, получившего название PuzzleMaker, который использовал цепочку эксплойтов нулевого дня Google Chrome и Windows 10 в целенаправленных атаках против нескольких компаний по всему миру.
По словам Касперского, атаки, координируемые PuzzleMaker, были впервые обнаружены в середине апреля, когда были скомпрометированы сети первых жертв.
Цепочка эксплойтов нулевого дня, развернутая в кампании, использовала уязвимость удаленного выполнения кода в движке JavaScript Google Chrome V8 для доступа к целевым системам.
Затем злоумышленники PuzzleMaker использовали эксплойт для повышения привилегий, специально разработанный для компрометации последних версий Windows 10, используя уязвимость раскрытия информации в ядре Windows (CVE-2021-31955) и повышение привилегий Windows NTFS (CVE-2021). -31956), обе исправлены во вторник июньских патчей.
Вредоносное ПО, развернутое с системными привилегиями
Злоумышленники использовали средство уведомлений Windows (WNF) вместе с уязвимостью CVE-2021-31956 для запуска вредоносных модулей с системными привилегиями в скомпрометированных системах Windows 10.
«После того, как злоумышленники использовали эксплойты Chrome и Windows, чтобы закрепиться в целевой системе, модуль stager загружает и запускает более сложный дроппер вредоносного ПО с удаленного сервера», - заявили исследователи.
"Затем этот дроппер устанавливает два исполняемых файла, которые выдают себя за легитимные файлы, принадлежащие ОС Microsoft Windows.
«Второй из этих двух исполняемых файлов - это модуль удаленной оболочки, который может загружать и выгружать файлы, создавать процессы, засыпать в течение определенных периодов времени и удалять себя из зараженной системы».
Chrome и Windows изобилие нулевых дней
Это не первая цепочка эксплойтов нулевого дня Chrome, широко используемая в последние месяцы.
Project Zero, команда Google по поиску ошибок нулевого дня, представила крупномасштабную операцию, в ходе которой группа хакеров использовала 11 нулевых дней для атак на пользователей Windows, iOS и Android в течение одного года.
Атаки проводились в рамках двух отдельных кампаний, в феврале и октябре 2020 года, по меньшей мере на десятке веб-сайтов, на которых размещалось два сервера эксплойтов, каждый из которых был нацелен на пользователей iOS и Windows или Android.
Исследователи Project Zero собрали множество информации с серверов эксплойтов, используемых в двух кампаниях, в том числе:
эксплойты рендерера для четырех ошибок в Chrome, одна из которых все еще была нулевым днем на момент обнаружения
два эксплойта для выхода из песочницы, использующие три уязвимости нулевого дня в Windows
«набор для повышения привилегий», состоящий из широко известных эксплойтов n-day для старых версий Android.
одна полная цепочка эксплойтов, нацеленная на полностью исправленную Windows 10 с использованием Google Chrome
две частичные цепочки, нацеленные на 2 разных полностью исправленных Android-устройства под управлением Android 10 с использованием Google Chrome и Samsung Browser
несколько эксплойтов RCE для iOS 11-13 и эксплойт повышения привилегий для iOS 13 (с эксплуатируемыми ошибками вплоть до iOS 14.1)
«В целом, в последнее время мы наблюдаем несколько волн громких угроз, вызванных эксплойтами« нулевого дня », - добавил Борис Ларин, старший исследователь безопасности Группы глобальных исследований и анализа (GReAT).
«Это напоминание о том, что нулевые дни продолжают оставаться наиболее эффективным методом заражения целей».
https://www.bleepingcomputer.com/news/security/windows-10-targeted-by-puzzlemaker-hackers-using-chrome-zero-days/
https://securelist.ru/puzzlemaker-chrome-zero-day-exploit-chain/101737/
По словам Касперского, атаки, координируемые PuzzleMaker, были впервые обнаружены в середине апреля, когда были скомпрометированы сети первых жертв.
Цепочка эксплойтов нулевого дня, развернутая в кампании, использовала уязвимость удаленного выполнения кода в движке JavaScript Google Chrome V8 для доступа к целевым системам.
Затем злоумышленники PuzzleMaker использовали эксплойт для повышения привилегий, специально разработанный для компрометации последних версий Windows 10, используя уязвимость раскрытия информации в ядре Windows (CVE-2021-31955) и повышение привилегий Windows NTFS (CVE-2021). -31956), обе исправлены во вторник июньских патчей.
Вредоносное ПО, развернутое с системными привилегиями
Злоумышленники использовали средство уведомлений Windows (WNF) вместе с уязвимостью CVE-2021-31956 для запуска вредоносных модулей с системными привилегиями в скомпрометированных системах Windows 10.
«После того, как злоумышленники использовали эксплойты Chrome и Windows, чтобы закрепиться в целевой системе, модуль stager загружает и запускает более сложный дроппер вредоносного ПО с удаленного сервера», - заявили исследователи.
"Затем этот дроппер устанавливает два исполняемых файла, которые выдают себя за легитимные файлы, принадлежащие ОС Microsoft Windows.
«Второй из этих двух исполняемых файлов - это модуль удаленной оболочки, который может загружать и выгружать файлы, создавать процессы, засыпать в течение определенных периодов времени и удалять себя из зараженной системы».
Chrome и Windows изобилие нулевых дней
Это не первая цепочка эксплойтов нулевого дня Chrome, широко используемая в последние месяцы.
Project Zero, команда Google по поиску ошибок нулевого дня, представила крупномасштабную операцию, в ходе которой группа хакеров использовала 11 нулевых дней для атак на пользователей Windows, iOS и Android в течение одного года.
Атаки проводились в рамках двух отдельных кампаний, в феврале и октябре 2020 года, по меньшей мере на десятке веб-сайтов, на которых размещалось два сервера эксплойтов, каждый из которых был нацелен на пользователей iOS и Windows или Android.
Исследователи Project Zero собрали множество информации с серверов эксплойтов, используемых в двух кампаниях, в том числе:
эксплойты рендерера для четырех ошибок в Chrome, одна из которых все еще была нулевым днем на момент обнаружения
два эксплойта для выхода из песочницы, использующие три уязвимости нулевого дня в Windows
«набор для повышения привилегий», состоящий из широко известных эксплойтов n-day для старых версий Android.
одна полная цепочка эксплойтов, нацеленная на полностью исправленную Windows 10 с использованием Google Chrome
две частичные цепочки, нацеленные на 2 разных полностью исправленных Android-устройства под управлением Android 10 с использованием Google Chrome и Samsung Browser
несколько эксплойтов RCE для iOS 11-13 и эксплойт повышения привилегий для iOS 13 (с эксплуатируемыми ошибками вплоть до iOS 14.1)
«В целом, в последнее время мы наблюдаем несколько волн громких угроз, вызванных эксплойтами« нулевого дня », - добавил Борис Ларин, старший исследователь безопасности Группы глобальных исследований и анализа (GReAT).
«Это напоминание о том, что нулевые дни продолжают оставаться наиболее эффективным методом заражения целей».
https://www.bleepingcomputer.com/news/security/windows-10-targeted-by-puzzlemaker-hackers-using-chrome-zero-days/
https://securelist.ru/puzzlemaker-chrome-zero-day-exploit-chain/101737/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.