Đe dọa các nhà nghiên cứu tình báo từ Google vào thứ Tư làm sáng tỏ hơn trong bốn ngày hoang dã trong các trình duyệt Chrome, Safari và Internet Explorer đã bị các phần tử độc hại khai thác trong các chiến dịch khác nhau kể từ đầu năm.
Hơn nữa, ba trong số bốn ngày không được thiết kế bởi các nhà cung cấp thương mại và được bán và sử dụng bởi các tổ chức được chính phủ hậu thuẫn, góp phần gia tăng các cuộc tấn công trong thế giới thực. Danh sách các lỗ hổng bảo mật hiện đã được vá như sau:
Cả Chrome zero-days – CVE-2021-21166 và CVE-2021-30551 – được cho là đã được sử dụng bởi cùng một tác nhân và được gửi dưới dạng liên kết một lần được gửi qua email đến các mục tiêu ở Armenia, với các liên kết chuyển hướng không nghi ngờ người dùng truy cập vào các miền do kẻ tấn công kiểm soát giả mạo là các trang web hợp pháp mà người nhận quan tâm.
Các trang web độc hại chịu trách nhiệm lấy dấu vân tay các thiết bị, bao gồm thu thập thông tin hệ thống về khách hàng, trước khi phân phối tải trọng giai đoạn hai.
Khi Google tung ra bản vá cho CVE-2021-30551, Shane Huntley, Giám đốc Nhóm phân tích mối đe dọa của Google (TAG), tiết lộ rằng lỗ hổng bảo mật đã được lợi dụng bởi cùng một tác nhân đã lạm dụng CVE-2021-33742, một hoạt động thực thi mã từ xa bị khai thác tích cực lỗ hổng trong nền tảng MSHTML của Windows đã được Microsoft giải quyết như một phần của Cập nhật bản vá thứ ba vào ngày 8 tháng 6.
Trước đó, Huntley nói thêm rằng hai zero-days được cung cấp bởi một nhà môi giới khai thác thương mại cho một đối thủ quốc gia-nhà nước, sử dụng chúng trong các cuộc tấn công hạn chế vào các mục tiêu ở Đông Âu và Trung Đông.
Theo một báo cáo kỹ thuật do nhóm công bố, tất cả ba zero-days đều “được phát triển bởi cùng một công ty giám sát thương mại đã bán các khả năng này cho hai tổ chức khác nhau được chính phủ hậu thuẫn”, thêm vào đó lỗ hổng của Internet Explorer đã được sử dụng trong một chiến dịch nhắm mục tiêu Người dùng Armenia có tài liệu Office độc hại đã tải nội dung web trong trình duyệt web.
Google đã không tiết lộ danh tính của người môi giới khai thác hoặc hai tác nhân đe dọa đã sử dụng các lỗ hổng như một phần của các cuộc tấn công của họ.
Ngược lại, Safari zero-day lo ngại về một lỗ hổng WebKit có thể cho phép kẻ thù xử lý nội dung web được chế tạo độc hại có thể dẫn đến các cuộc tấn công tập lệnh trên nhiều trang web. Vấn đề đã được Apple giải quyết vào ngày 26 tháng 3 năm 2021.
Tin tặc SolarWinds đã khai thác iOS Zero-Day
Các cuộc tấn công tận dụng CVE-2021-1879, mà Google cho là “có khả năng là diễn viên được chính phủ Nga hậu thuẫn”, được thực hiện bằng cách gửi các liên kết độc hại đến các quan chức chính phủ qua LinkedIn, khi được nhấp từ thiết bị iOS, sẽ chuyển hướng người dùng đến một kẻ lừa đảo miền đã phân phát trọng tải ở giai đoạn tiếp theo.
Cần lưu ý rằng cuộc tấn công cũng phản ánh một làn sóng tấn công có chủ đích tung ra bởi các tin tặc Nga được theo dõi là Nobelium, bị phát hiện lạm dụng lỗ hổng để tấn công các cơ quan chính phủ, các tổ chức tư vấn, nhà tư vấn và các tổ chức phi chính phủ như một phần của chiến dịch lừa đảo qua email.
Nobelium, một kẻ đe dọa có liên quan đến Cơ quan Tình báo Nước ngoài của Nga (SVR), cũng bị nghi ngờ dàn dựng Cuộc tấn công chuỗi cung ứng của SolarWinds cuối năm ngoái. Nó được biết đến với các bí danh khác như APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) và Iron Ritual (Secureworks).
“Nửa chừng năm 2021, đã có 33 lần khai thác zero-day được sử dụng trong các cuộc tấn công đã được tiết lộ công khai trong năm nay – nhiều hơn 11 so với tổng số từ năm 2020 “, các nhà nghiên cứu của TAG Maddie Stone và Clement Lecigne lưu ý.” Mặc dù số lượng khai thác zero-day được sử dụng ngày càng tăng, chúng tôi tin rằng các nỗ lực phát hiện và công bố thông tin cũng đang góp phần vào xu hướng tăng. “
