«Лаборатория Касперского» провела исследование волны целевых атак, проведенных на организации из разных стран мира. Выполненный анализ продемонстрировал, что во время этих кибератак злоумышленники пользовались цепочкой 0-day эксплойтов на Chrome и Windows.
Исследователям «Лаборатории Касперского» не удалось заполучить эксплойт удалённого выполнения кода в Chrome, но у них получилось найти эксплойт повышения привилегий, применяемый для побега из песочницы и получения привилегий в целевой системе. Все обнаруженные кибератаки проводились через Chrome.
Атаки с использованием уязвимостей CVE-2021-31955 и CVE-2021-31956 были обнаружены продуктами компании Kaspersky с использованием технологии Behavioral Detection Engine и компонента Exploit Prevention. В течение нескольких последних лет «Лаборатория Касперского» смогла добавить в свои продукты различные технологии защиты от эксплойтов, с помощью которых получилось выявить огромное число кибератак с эксплуатацией 0-day уязвимостей.
Кроме эксплойтов повышения привилегий и удаленного выполнения код в Chrome полноценная цепочка кибератаки состоит из 4-х вспомогательных модулей вредоносного программного обеспечения, которые можно обозначить по их функционалу:
- удаленный шелл;
- сервис;
- дроппер;
- стрейджер.
Ни один из артефактов, которые были проанализированы экспертами компании Kaspersky, не обладает тесной связью с известными ранее киберпреступниками. Одно из сходств, которое было зарегистрировано – это эксплуатация техники PreviousMode, но она крайне известна, поэтому её могут использовать различные хакерские группировки. Поэтому группе, которая ответственна за эти кибератаки, в «Лаборатории Касперского» дали название PuzzleMaker.
Детальные сведения о проводимых кибератаках со стороны группировки PuzzleMaker и о деятельности самой киберпреступной группы приведены для клиентов Kaspersky Intelligence Reporting.
С полной версией результатов исследования «PuzzleMaker атакует, используя цепочку эксплойтов нулевого дня под Chrome» от «Лаборатории Касперского» можно ознакомиться по следующей ссылке.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ