13/01/21
Компания Google опубликовала отчет из шести частей о сложной киберпреступной операции, нацеленной на пользователей Android и Windows и обнаруженной специалистами Google в начале прошлого года.
Как сообщается в первой части отчета, атаки осуществлялись с двух серверов, доставлявших на атакуемые системы разные связки эксплоитов с помощью техники watering hole. Один сервер использовался для атак на пользователей Windows, а другой – на пользователей Android.
В качестве точки входа в атакуемую систему оба сервера использовали уязвимости в Google Chrome, а затем злоумышленники развертывали эксплоит системного уровня для получения большего контроля над устройством жертвы.
В связку эксплоитов входили как известные уязвимости, так и уязвимости нулевого дня. В частности, злоумышленники использовали четыре уязвимости в Google Chrome, одна из которых на момент обнаружения была уязвимостью нулевого дня, два эксплоита для обхода песочницы с помощью трех уязвимостей нулевого дня, а также «набор для повышения привилегий», куда входят известные уязвимости в старых версиях Android.
Эксплуатируемые хакерами и исправленные весной 2020 года уязвимости нулевого дня в Google Chrome:
CVE-2020-6418 – уязвимость в оптимизирующем компиляторе TurboFan (исправлена в феврале 2020 года);
CVE-2020-0938 – уязвимость в Adobe Type Manager Library в Microsoft Windows (исправлена в апреле 2020 года);
CVE-2020-1020 – уязвимость в Adobe Type Manager Library в Microsoft Windows (исправлена в апреле 2020 года);
CVE-2020-1027 – уязвимость повышения привилегий в Windows (исправлена в апреле 2020 года).
В общей сложности эксперты Google описали связку эксплоитов как «эффективную и гибкую благодаря своей модульности».
«Это хорошо спроектированный, сложный код со множеством новых методов эксплуатации, продуманным журналированием, сложными и рассчитанными методами постэксплуатации, а также большим объемом антианалитических и антицелевых проверок», – сообщается в отчете.
Watering hole – стратегия кибератаки, при которой злоумышленник угадывает или наблюдает, какие web-сайты часто посещает жертва, и заражает один или несколько из них вредоносным ПО.
