谷歌详述iOS、Chrome、IE的零日漏洞最近在野被利用的情况

谷歌的威胁情报研究人员周三对Chrome、Safari和Internet Explorer浏览器中的4个在野的0day漏洞进行了更多说明,这些0day漏洞自今年年初以来在不同的活动中被恶意行为者利用。

更重要的是,四个零日漏洞中有三个是由商业提供商设计的,并出售给政府支持的参与者并由其使用,从而导致现实世界攻击的增加。现已修补的漏洞列表如下 –

  • CVE-2021-1879:在QuickTimePluginreplacement(Apple WebKit)中使用的使用
  • CVE-2021-21166:音频中的Chrome对象生命周期问题
  • CVE-2021-30551:v8中的chrome混淆
  • CVE-2021-33742:Internet Explorer在MSHTML中写入

Chrome 零日漏洞——CVE-2021-21166 和 CVE-2021-30551——被认为是由同一个攻击者使用的,并作为一次性链接通过电子邮件发送到位于亚美尼亚的目标,链接重定向毫无戒心的用户访问伪装成收件人感兴趣的合法网站的攻击者控制的域。

恶意网站负责指纹设备,包括在提供第二阶段有效载荷之前收集有关客户端的系统信息。

当谷歌推出CVE-2021-30551的补丁时,谷歌威胁分析小组(标签)的主任Shane Huntley透露,脆弱的攻击者被滥用CVE-2021-33742的同一演员,积极开发的远程执行Windows MSHTML平台缺陷,该平台由Microsoft于6月8日作为其补丁周二更新的一部分。

Shane Huntley此前补充说,这两个 0day 是由商业漏洞利用经纪人提供给一个民族国家对手的,后者使用它们对东欧和中东的目标进行了有限的攻击。

谷歌详述iOS、Chrome、IE的零日漏洞最近在野被利用的情况

现在,根据该团队发布的一份技术报告,所有三个 0day 都是“由同一家商业监控公司开发的,该公司将这些功能出售给了两个不同的政府支持的参与者”,并补充说 Internet Explorer 漏洞被用于针对活动的攻击拥有在 Web 浏览器中加载 Web 内容的恶意 Office 文档的亚美尼亚用户。

谷歌没有透露利用经纪人的身份或使用漏洞的两个威胁演员作为其攻击的一部分。

Solarwinds黑客开发了IOS零日

相比之下,Safari零日涉及WebKit缺陷,可以使对手进行恶意制作的Web内容,这可能导致通用跨站点脚本攻击。该问题由Apple纠正于2021年3月26日。

攻击利用CVE-2021-1879,谷歌归因于“可能的俄罗斯政府支持的演员”,通过将恶意链接发送到LinkedIn的政府官员,当点击IOS设备时,将用户重定向到流氓服务于下阶段有效载荷的域。

值得注意的是,此次攻势也反映了被追踪为 Nobelium 的俄罗斯黑客发起的一波有针对性的攻击浪潮,被发现滥用该漏洞攻击政府机构、智囊团、顾问和非政府组织,作为电子邮件网络钓鱼活动的一部分。

与俄罗斯外国情报局 (SVR) 有关联的威胁行为者 Nobelium 也被怀疑策划了去年年底的SolarWinds 供应链攻击。它还有其他别名,例如 APT29、UNC2452 (FireEye)、SolarStorm (Unit 42)、StellarParticle (Crowdstrike)、Dark Halo (Volexity) 和 Iron Ritual (Secureworks)。

TAG 研究人员 Maddie Stone 和 Clement Lecigne 指出:“到 2021 年的一半,今年已公开披露的攻击中使用了33 次零日漏洞——比 2020 年的总数多 11 次。” “虽然正在使用的零日漏洞利用数量有所增加,但我们相信更大的检测和披露工作也有助于上升趋势。”