Google раскрывает хакерскую кампанию, нацеленную на пользователей Windows и Android

Project Zero, команда Google по поиску ошибок 0day, раскрыла хакерскую кампанию, координируемую «очень искушенным актером» и нацеленную на пользователей Windows и Android с помощью эксплойтов нулевого и n-го дня.

Команда Project Zero в сотрудничестве с Google Threat Analysis Group (TAG) в начале 2020 года обнаружила атаку водопоя с использованием двух серверов эксплойтов, каждый из которых использует отдельные цепочки эксплойтов для компрометации потенциальных целей.

«Эти цепочки эксплойтов разработаны для обеспечения эффективности и гибкости благодаря своей модульности», – сказал Project Zero после их анализа в течение нескольких месяцев.

«Они представляют собой хорошо спроектированный, сложный код с множеством новых методов эксплуатации, зрелым журналированием, сложными и рассчитанными методами постэксплуатации, а также большим объемом антианалитических и целевых проверок. Мы считаем, что группы экспертов спроектировали и разработали их эксплуатировать цепочки “.

Исследователи Project Zero смогли собрать массу информации с двух серверов эксплойтов, в том числе:

  • Рендерер использует четыре ошибки в Chrome, одна из которых на момент обнаружения была нулевой.
  • Два взлома «песочницы», использующие три уязвимости нулевого дня в Windows.
  • «Набор для повышения привилегий», состоящий из широко известных эксплойтов n-day для старых версий Android.

Один из серверов эксплойтов, использованных в этой операции взлома, использовался для нацеливания на пользователей Windows, а другой специально пытался взломать устройства Android.

В обоих случаях злоумышленники использовали эксплойты Chrome для удаленного выполнения вредоносного кода на целевых устройствах, удаленного выполнения кода, нулевого дня для устройств Windows и n-day для Android.

Хотя в цепочке эксплойтов Android не использовались нулевые дни Android, “[b] учитывая изощренность актера, мы думаем, что вполне вероятно, что у них был доступ к Android 0-дней, но мы не обнаружили ничего в нашем анализе”, – сказал Project Zero.

«Помимо эксплуатации, их отличают модульность полезной нагрузки, взаимозаменяемые цепочки эксплуатации, ведение журнала, нацеливание и зрелость операций этого актора», – добавили в Project Zero.

«Мы надеемся, что, обмениваясь этой информацией публично, мы продолжаем сокращать разрыв в знаниях между частной эксплуатацией (что хорошо финансируемые группы по эксплуатации делают в реальном мире) и тем, что общеизвестно».

Четыре нулевых дня, использованные в этих атаках и исправленные в прошлом году:

  • CVE-2020-6418 – уязвимость Chrome в TurboFan (исправлено в феврале 2020 г.)
  • CVE-2020-0938 – уязвимость шрифтов в Windows (исправлено в апреле 2020 г.)
  • CVE-2020-1020 – уязвимость шрифтов в Windows (исправлено в апреле 2020 г.)
  • CVE-2020-1027 – уязвимость Windows CSRSS (исправлено в апреле 2020 г.)

Все три нулевых дня Windows были рассмотрены Microsoft во вторник патчей в апреле 2020 года , в то время как нулевой день Chrome был исправлен Google в феврале 2020 года с выпуском Chrome 80.0.3987.122 после обнаружения эксплойта в дикой природе.

Команда Project Zero также опубликовала отдельные отчеты о  Chrome “Infinity Bug”,  используемом для нацеливания на пользователей Android, цепочках эксплойтов Chrome , Android и Windows , а также о процедуре постэксплуатации , используемой на рутированных и скомпрометированных устройствах Android, как показано в атаки.

Источник https://bdroid.ru/

Блог обо всем на земле