​În aprilie, experții Kaspersky au descoperit o serie de atacuri țintite împotriva mai multor companii, folosind un lanț nedescoperit anterior de exploatări ale vulnerabilităților de tip zero-days din Google Chrome și Microsoft Windows. Una dintre exploatări a fost utilizată pentru executarea codului de la distanță în browserul web Chrome, în timp ce cealaltă era o variantă evoluată care viza numai cele mai recente și mai proeminente versiuni de Windows 10.

Atac ciberneticFoto: Mulikov, Dreamstime.com

Aceasta din urmă exploatează două vulnerabilități în Microsoft Windows Kernel OS: Vulnerabilitatea divulgării informațiilor CVE-2021-31955 și vulnerabilitatea Elevation of Privilege CVE-2021-31956. Microsoft le-a înlăturat pe ambele ca parte a Patch Tuesday.

Ultimele luni au adus un val de activități de amenințări avansate, care exploatează vulnerabilitățile de tip zero-days. La jumătatea lunii aprilie, experții Kaspersky au descoperit încă un nou val de atacuri de exploatare extrem de țintite, împotriva mai multor companii, care le-au permis atacatorilor să compromită pe ascuns rețelele vizate.

Kaspersky nu a găsit încă nicio legătură între aceste atacuri și actorii de amenințare cunoscuți. Prin urmare, l-au numit pe acest actor PuzzleMaker.

Toate atacurile au fost efectuate prin Chrome și au folosit o cale de acces care a permis executarea codului de la distanță. În timp ce cercetătorii Kaspersky nu au reușit să recupereze codul pentru exploatarea de la distanță, cronologia și disponibilitatea sugerează că atacatorii foloseau vulnerabilitatea CVE-2021-21224, descoperită recent. Această vulnerabilitate a fost legată de o eroare Type Mismatch din V8 - un motor JavaScript utilizat de browserele web Chrome și Chromium. Permite atacatorilor să exploateze procesul de redare Chrome (procesele care sunt responsabile pentru ceea ce se întâmplă în tab-ul utilizatorilor).

Experții Kaspersky au fost totuși capabili să găsească și să analizeze al doilea exploit: unul evoluat, care exploatează două vulnerabilități distincte în kernel-ul Microsoft Windows OS.

Prima este o vulnerabilitate de divulgare a informațiilor (o vulnerabilitate care transmite informații sensibile despre nucleu), atribuită CVE-2021-31955.

Mai exact, vulnerabilitatea este afiliată cu SuperFetch - o caracteristică introdusă pentru prima dată în Windows Vista, care are ca scop reducerea timpilor de încărcare a software-ului prin pre-încărcarea aplicațiilor utilizate în mod obișnuit în memorie.

Cea de-a doua vulnerabilitate - o vulnerabilitate de tip Elevation of Privilege (permite atacatorilor să exploateze nucleul și să obțină acces ridicat la computer) – a fost denumită CVE-2021-31956 și este un heap-based buffer overflow. Atacatorii au folosit vulnerabilitatea CVE-2021-31956 alături de Windows Notification Facility (WNF) pentru a crea primitive arbitrare de citire/scriere a memoriei și pentru a executa module malware cu privilegii de sistem.

Odată ce atacatorii foloseau atât exploatarea Chrome, cât și Windows pentru a obține un punct de acces în sistemul vizat, modulul stager descărca și executa un dropper de malware mai complex, de pe un server aflat la distanță. Acest dropper instala apoi două executabile, care apăreau drept fișiere legitime, aparținând sistemului de operare Microsoft Windows. A doua dintre aceste două executabile era un modul shell de la distanță, care era capabil să descarce și să încarce fișiere, să creeze procese, să fie inactiv pentru anumite perioade de timp și să se șteargă din sistemul infectat.

„Deși aceste atacuri au fost foarte țintite, încă nu le-am legat de niciun actor de amenințare cunoscut. De aceea, l-am numit pe actorul din spatele lor „PuzzleMaker” și vom monitoriza îndeaproape peisajul securității pentru activități viitoare sau noi perspective despre acest grup. În ansamblu, în ultima vreme, am văzut mai multe valuri de activități majore provocate de exploatări ale vulnerabilităților de tip zero-days. E un semn că aceste vulnerabilități continuă să fie cea mai eficientă metodă de infectare a țintelor. Acum, că ele au fost făcute publice, este posibil să vedem o creștere a utilizării lor în atacurile demarate de acest grup și de alți actori. Asta înseamnă că este foarte important ca utilizatorii să descarce cel mai recent patch de la Microsoft cât mai curând posibil”, spune Boris Larin, cercetător principal în securitate în cadrul echipei globale de cercetare și analiză (GReAT).