Раскрыта сложная вредоносная кампания против пользователей Android и Windows
Компания Google опубликовала отчет из шести частей о сложной киберпреступной операции, нацеленной на пользователей Android и Windows и обнаруженной специалистами Google в начале прошлого года.
Как сообщается в первой части отчета, атаки осуществлялись с двух серверов, доставлявших на атакуемые системы разные связки эксплоитов с помощью техники watering hole. Один сервер использовался для атак на пользователей Windows, а другой - на пользователей Android.
В качестве точки входа в атакуемую систему оба сервера использовали уязвимости в Google Chrome, а затем злоумышленники развертывали эксплоит системного уровня для получения большего контроля над устройством жертвы.
В связку эксплоитов входили как известные уязвимости, так и уязвимости нулевого дня. В частности, злоумышленники использовали четыре уязвимости в Google Chrome, одна из которых на момент обнаружения была уязвимостью нулевого дня, два эксплоита для обхода песочницы с помощью трех уязвимостей нулевого дня, а также "набор для повышения привилегий", куда входят известные уязвимости в старых версиях Android.
Эксплуатируемые хакерами и исправленные весной 2020 года уязвимости нулевого дня в Google Chrome:
CVE-2020-6418 - уязвимость в оптимизирующем компиляторе TurboFan (исправлена в феврале 2020 года);
CVE-2020-0938 - уязвимость в Adobe Type Manager Library в Microsoft Windows (исправлена в апреле 2020 года);
CVE-2020-1020 - уязвимость в Adobe Type Manager Library в Microsoft Windows (исправлена в апреле 2020 года);
CVE-2020-1027 - уязвимость повышения привилегий в Windows (исправлена в апреле 2020 года).
В общей сложности эксперты Google описали связку эксплоитов как "эффективную и гибкую благодаря своей модульности".
"Это хорошо спроектированный, сложный код со множеством новых методов эксплуатации, продуманным журналированием, сложными и рассчитанными методами постэксплуатации, а также большим объемом антианалитических и антицелевых проверок", - сообщается в отчете.
Watering hole - стратегия кибератаки, при которой злоумышленник угадывает или наблюдает, какие web-сайты часто посещает жертва, и заражает один или несколько из них вредоносным ПО.
