Исследователи Google Project Zero Security опубликовали подробный анализ из шести частей набора уязвимостей, обнаруженных на двух серверах эксплойтов в начале прошлого года, которые должны были использоваться в так называемых атаках на водопой с помощью скомпрометированных веб-серверов, используемых для взлома целей.
В докладе подробно описывается работа того, что Project Zero называет работой «очень сложного актора», который управляет сложной целевой инфраструктурой.
Project Zero не указал, кем может быть этот субъект, но сказал, что найденные цепочки эксплойтов рассчитаны на эффективность и гибкость благодаря своей модульности.
«Это хорошо спроектированный, сложный код с множеством новых методов эксплуатации, зрелой регистрацией, сложными и рассчитанными методами после эксплуатации и большими объемами антианализа и целевых проверок», — сказали исследователи Project Zero.
«Мы считаем, что команды экспертов разработали и разработали эти цепочки эксплойтов.»
Исследователи обнаружили эксплойты для четырех ошибок в веб-браузере Google Chrome, одна из которых была нулевым днем, когда сообщалось о ней 18 февраля прошлого года.
Также были обнаружены две уязвимости нулевого дня, эксплуатирующие рендеринг шрифтов в Microsoft Windows, а также ошибка переполнения буфера кучи в подсистеме выполнения Клиент-Сервер (CSRSS), которая была использована для того, чтобы избежать песочницы или ограничений на выполнение программного обеспечения в операционной системе.
Напротив, злоумышленники использовали известные эксплойты для Android-устройств.
Команды высококвалифицированных разработчиков, которые строили и собирали цепочки эксплойтов, разработали атаки, состоящие из четырех этапов.
Подробная информация о скомпрометированных устройствах была отправлена на этапе 3 в цепочке эксплойтов на серверы командования и управления для дополнительного таргетинга после первых двух этапов.
Вредоносный код для этапа 3 поразил исследователей Project Zero своим высоким качеством.
«Особенно интересно, насколько сложным и хорошо спроектированным является этот код стадии 3, если учесть, что злоумышленники использовали все публично известные n-дни [известные уязвимости] на стадии 2»,-сказали исследователи.
Злоумышленники использовали Google Chrome 0-day на этапе 1, публичный эксплойт для Android n-days на этапе 2 и зрелый, сложный и тщательно разработанный и спроектированный этап 3.
«Это наводит нас на мысль, что актер, скорее всего, имеет больше специфичных для устройства 0-дневных эксплойтов.»
Этап 3 также загрузит окончательную полезную нагрузку для атак, сконфигурированных с помощью информации, отправленной на сервер управления и командования, но проект Ноль не предоставил подробностей о том, что делает захваченный ими Android-имплантат.
Участники угрозы закрыли свой сервер атаки Windows, прежде чем Project Zero смог извлечь оттуда имплантат.
На вопрос, почему Project Zero опубликовал подробный анализ цепочки эксплойтов почти через год после обнаружения вредоносного ПО, исследователь безопасности Мэдди Стоун сослалась на задержки, вызванные пандемией Covid-19, и наличие четырех соавторов, включая ее саму.
«Мы определенно хотим получить вещи раньше в будущем», — сказал Стоун ITnews.
Руководитель группы Project Zero Тим Уиллис отметил, что опубликованное сегодня исследование не охватывает уязвимости в дикой природе, обнаруженные в октябре 2020 года.
Эта следственная работа все еще продолжается и займет еще несколько месяцев.
