Phát hiện thủ phạm mới tấn công Windows 10

Các nhà nghiên cứu bảo mật của Kaspersky đã phát hiện ra thủ phạm mới - PuzzleMaker - kẻ đã sử dụng chuỗi khai thác lỗ hổng zero-day của Google Chrome và Windows 10 trong các cuộc tấn công có mục tiêu cao chống lại nhiều công ty trên toàn thế giới.

Theo Kaspersky, các cuộc tấn công do PuzzleMaker điều phối lần đầu tiên được phát hiện vào giữa tháng 4 khi mạng của các nạn nhân đầu tiên bị xâm phạm.

Chuỗi khai thác lỗ hổng zero-day đã sử dụng lỗ hổng thực thi mã từ xa trong công cụ JavaScript V8 của Google Chrome để truy cập vào các hệ thống được nhắm mục tiêu.

Tiếp theo, PuzzleMaker đã sử dụng việc nâng cao quyền khai thác đặc quyền được điều chỉnh tùy chỉnh để xâm phạm các phiên bản Windows 10 mới nhất bằng cách lạm dụng lỗ hổng tiết lộ thông tin trong Windows kernel (CVE-2021-31955) và lỗi leo thang đặc quyền Windows NTFS (CVE-2021 -31956), cả hai đều được vá trong bản vá Patch Tuseday tháng 6.

Những kẻ tấn công đã lạm dụng Windows Notification Facility (WNF) cùng với lỗ hổng CVE-2021-31956 để thực thi các modules phần mềm độc hại có đặc quyền hệ thống trên các hệ thống Windows 10 bị xâm nhập.

"Khi những kẻ tấn công sử dụng cả khai thác Chrome và Windows để có được chỗ đứng trong hệ thống được nhắm mục tiêu, module stager sẽ tải và thực thi một phần mềm độc hại dropper phức tạp hơn từ một máy chủ từ xa. Sau đó, dropper sẽ cài đặt hai tệp thực thi đội lốt là các tệp hợp pháp thuộc hệ điều hành Microsoft Windows. Tệp thứ hai trong số hai tệp thực thi này là một module shell từ xa. Nó có thể tải tệp xuống và lên, tạo quy trình, ngủ trong khoảng thời gian nhất định và tự xóa khỏi hệ thống bị nhiễm”, các nhà nghiên cứu thông tin.

Đây không phải là chuỗi khai thác zero-day đầu tiên của Chrome được sử dụng phổ biến trong những tháng gần đây.

Project Zero, nhóm săn lỗi zero-day của Google, đã tiết lộ một hoạt động quy mô lớn, trong đó một nhóm tin tặc đã sử dụng 11lỗ hổng zero-day để tấn công người dùng Windows, iOS và Android trong vòng một năm.

Các cuộc tấn công diễn ra trong hai chiến dịch riêng biệt, vào tháng 2 và tháng 10 năm 2020, với ít nhất hàng chục trang web lưu trữ hai máy chủ khai thác, mỗi máy chủ đều nhắm mục tiêu đến người dùng iOS và Windows hoặc Android.

Các nhà nghiên cứu của Project Zero đã thu thập một lượng lớn thông tin từ các máy chủ khai thác được sử dụng trong hai chiến dịch, bao gồm:

• khai thác kết xuất đồ họa cho bốn lỗi trong Chrome, một trong số đó vẫn là lỗi zero-day tại thời điểm phát hiện
• hai lần khai thác sandbox escape lạm dụng ba lỗ hổng zero-day trong Windows
• "bộ leo thang đặc quyền" bao gồm các hoạt động khai thác lỗ hổng n-day được biết đến công khai dành cho các phiên bản Android cũ hơn
• một chuỗi khai thác đầy đủ nhắm mục tiêu Windows 10 đã được vá đầy đủ bằng Google Chrome
• hai chuỗi một phần nhắm mục tiêu đến hai thiết bị Android được vá đầy đủ khác nhau chạy Android 10 bằng Google Chrome và Samsung Browser
• một số khai thác RCE cho iOS 11-13 và một khai thác leo thang đặc quyền cho iOS 13 (với các lỗi đã khai thác có mặt trên iOS 14.1)

Boris Larin, nhà nghiên cứu bảo mật cấp cao của Nhóm nghiên cứu và phân tích toàn cầu (GReAT) cho biết: “Nhìn chung, vào cuối năm nay, chúng tôi đã chứng kiến ​​một số làn sóng hoạt động đe dọa cao cấp được thúc đẩy bởi khai thác lỗ hổng zero-day. Nó nhắc nhở chúng ta rằng lỗ hổng zero-day tiếp tục là phương pháp hiệu quả nhất để lây nhiễm các mục tiêu."