W kwietniu eksperci z firmy Kaspersky wykryli wiele ataków precyzyjnie wycelowanych w liczne firmy. Użyto w nich nieznanego wcześniej łańcucha szkodliwych narzędzi wykorzystujących luki dnia zerowego w przeglądarce Google Chrome i systemie Microsoft Windows. Jedno z tych narzędzi służy do zdalnego wykonywania szkodliwego kodu w przeglądarce, a drugie pozwala na zwiększanie uprawnień w atakowanym systemie. Luki zostały już załatane przez firmę Microsoft.
W ostatnich miesiącach miała miejsce fala aktywności obejmującej zaawansowane zagrożenia wykorzystujące luki dnia zerowego. W połowie kwietnia eksperci z firmy Kaspersky odkryli kolejną partię wysoce ukierunkowanych ataków na liczne firmy z wykorzystaniem exploitów, które pozwoliły atakującym ukradkowo zainfekować atakowane sieci. Firma Kaspersky nie powiązała jeszcze tych ataków z żadnymi znanymi ugrupowaniami cyberprzestępczymi, a sprawcy są określani jako “PuzzleMaker”.
Wszystkie ataki zostały przeprowadzone za pośrednictwem przeglądarki Chrome i wykorzystywały exploita umożliwiającego zdalne wykonanie kodu. Chociaż badacze z firmy Kaspersky nie byli w stanie dotrzeć do kodu exploita, porządek chronologiczny – jak również dostępność – sugerują, że atakujący wykorzystywali załataną już lukę CVE-2021-21224. Była ona związana z błędem niezgodności typów w silniku JavaScript wykorzystywanym przez przeglądarki Chrome i Chromium.
Eksperci z firmy Kaspersky zdołali znaleźć i przeanalizować drugi exploit: narzędzie umożliwiające podniesienie uprawnień, które wykorzystuje dwie różne luki w jądrze Microsoft Windows OS. Pierwsza z nich to luka powodująca wyciek wrażliwych informacji dotyczących jądra systemu, której nadano kod CVE-2021-31955. Luka ta jest związana z funkcją wstępnego ładowania do pamięci, która po raz pierwszy została wprowadzona do systemu Windows Vista w celu skrócenia czasu uruchamiania oprogramowania.
Druga luka – podnosząca uprawnienia w systemie – otrzymała nazwę CVE-2021-31956. Atakujący wykorzystali ją wraz z systemem powiadomień systemu Windows w celu m.in. uruchamiania modułów szkodliwego oprogramowania z uprawnieniami systemu.
Po wykorzystaniu exploitów dla Chrome’a i Windowsa w celu przedostania się do atakowanego systemu szkodnik pobiera ze zdalnego serwera kolejny moduł. Jest on odpowiedziany za pobranie i zainstalowanie dwóch plików wykonywalnych, które podszywają się pod legalne moduły systemu Windows. Jeden z nich potrafi pobierać i przesyłać pliki, tworzyć procesy, pozostawać w uśpieniu przez pewien czas oraz usuwać się z zainfekowanego systemu.
Firma Microsoft opublikowała już poprawkę na obie luki w systemie Windows w ramach tzw. poprawkowego wtorku.
Omawiane ataki były wysoce ukierunkowane, ale nie zostały jeszcze powiązane z żadnym znanym ugrupowaniem cyberprzestępczym. Dlatego nadaliśmy atakującym nazwę “PuzzleMaker” i zamierzamy uważnie monitorować krajobraz bezpieczeństwa pod kątem przyszłej aktywności lub nowych informacji dotyczących tego ugrupowania. Ostatnio zaobserwowaliśmy kilka fal szeroko nagłośnionej aktywności dotyczącej zagrożeń wykorzystujących exploity dnia zerowego. Jest to przypomnienie, że luki dnia zerowego nadal stanowią bardzo skuteczną metodę infekowania celów. Teraz, kiedy te luki zostały upublicznione, być może zwiększy się liczba przypadków wykorzystania ich w atakach przez omawiane bądź inne ugrupowanie cyberprzestępcze. To oznacza, że użytkownicy powinni jak najszybciej pobrać najnowszą poprawkę firmy Microsoft – powiedział Boris Larin, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.