«Русские хакеры» атаковали пользователей LinkedIn через уязвимость 0-day в Safari

Исследователи безопасности компании Google представили дополнительную информацию о четырех уязвимостях нулевого дня в Google Chrome, Internet Explorer и WebKit (движке браузера Apple Safari), эксплуатировавшихся в хакерских атаках и исправленные ранее в нынешнем году.

Речь идет о следующих уязвимостях:

CVE-2021-21166 – проблема жизненного цикла объекта Audio в Chrome;

CVE-2021-30551 – несоответствие типов вводимых данных в V8 в Chrome;

CVE-2021-33742 – запись за пределами выделенной области памяти в MSHTML в Internet Explorer;

CVE-2021-1879 – использование памяти после высвобождения в QuickTimePluginReplacement в WebKit (Safari).

Как сообщил глава подразделения Google Threat Analysis Group Шейн Хантли (Shane Huntley), специалисты связали атаки с эксплуатацией трех уязвимостей с поставщиком коммерческих инструментов для хакинга, чьими услугами пользуются спецслужбы, а еще одну уязвимость – с APT-группой, предположительно российской.

По словам Хантли, в первой половине нынешнего года злоумышленники использовали в атаках 33 уязвимости нулевого дня, которые были публично раскрыты, что на 11 больше по сравнению с прошлым годом.

Эксплоиты для уязвимостей в Google Chrome и Internet Explorer были разработаны одним и тем же производителем коммерческих инструментов для слежения, который продавал их правоохранительным органам. Эти эксплоиты не использовались в масштабных вредоносных кампаниях, чего нельзя сказать об уязвимости в WebKit, эксплуатировавшейся в атаках на высокопоставленных лиц в западноевропейских странах. В ходе вредоносной кампании, нацеленной на iOS-устройства с устаревшими версиями iOS (от 12.4 до 13.7), злоумышленники рассылали жертвам вредоносные ссылки в сообщениях на LinkedIn.

Итоговой целью злоумышленников был сбор cookie-файлов для авторизации на нескольких популярных сайтах, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, и передача их через WebSocket на подконтрольные хакерам IP-адреса.

Хотя Google не связывает атаки с какой-то конкретной группировкой, по мнению специалистов Microsoft, ответственность за них лежит на Nobelium, известной своей атакой на SolarWinds.