714月14日,谷歌威胁情报研究人员分析了今年恶意攻击者攻击活动中使用的四个不同的野生漏洞,其影响Chrome、Safari、IE浏览器等。
此外,四个漏洞中有三个是卖给政府背景的黑客,所以很快就出现在现实攻击中。这四个漏洞是:
- CVE-2021-1879: Apple WebKit QuickTimePluginReplacement中的UAF漏洞
- CVE-2021-21166: Chrome Object Lifecycle问题
- CVE-2021-30551: V8中的Chrome Type混淆问题
- CVE-2021-33742: MSHTML中的IE越界写问题
其中CVE-2021-21166和CVE-2021-30551都是Chrome 0 day漏洞,这两个漏洞被相同的攻击者使用,通过邮件发送的一次性链接来进行传播,攻击目标位于亚美尼亚,链接会重定向用户到攻击者控制的域名,这些域名伪装成了接收者感兴趣的合法网站。
恶意网站将分发第二阶段payload对设备进行指纹操作,包括收集客户端的系统信息。
Google在发布CVE-2021-30551谷歌威胁分析团队主任补丁后Shane Huntley该漏洞已被滥用CVE-2021-33742利用漏洞的攻击者。CVE-2021-33742漏洞是Windows MSHTML平台中的远程代码执行漏洞。
这2个0 day商业漏洞利用代理商向具有国家背景的黑客组织提供,并用于攻击东欧、中东等国家。
根据团队发布的技术报告,这三个0 day漏洞是由同一家商业监控公司开发的,并出售给两个具有国家背景的不同黑客组织。然而,谷歌并没有公开利用代理人的身份或两个攻击者组织。
6月8日,微软修复了上述漏洞。
SolarWinds 黑客利用iOS 0 day漏洞
相比之下,Safari 0 day漏洞(CVE-2021-1879)是一个webkit漏洞可以处理恶意伪造web内容引起通用XSS3月26日,苹果修复了这个漏洞。
利用CVE-2021-1879发起漏洞攻击的组织是一个具有俄罗斯政府背景的黑客组织,当受害者在那里时,通过领英发送恶意链接到政府官员iOS单击设备上的链接时,受害者的用户将被重新定位到下一阶段payload的域名。
此外,研究人员还发现了俄罗斯黑客组织Nobelium 利用这个漏洞发起电子邮件钓鱼攻击,攻击政府机构、智库、咨询机构和非政府机构。
Nobelium俄罗斯外国情报局(Russian Foreign Intelligence Service,SVR)黑客组织也受到了怀疑和怀疑SolarWinds供应链攻击也被称为APT29、UNC2452 (FireEye)、SolarStorm (Unit 42)、StellarParticle (Crowdstrike)、Dark Halo (Volexity)或Iron Ritual (Secureworks)。
2021年上半年,一共发现有33个0 day比2020年多了11个漏洞用于攻击活动。
本文翻译自:https://thehackernews.com/2021/07/google-details-ios-chrome-ie-zero-day.html若转载,请注明原文地址。