Google Project Zero研究人员发现了一个针对Windows和Android用户的复杂黑客活动。
Google Project Zero小组最近发起了一项旨在开发新技术的技术,以检测野外攻击中使用的零日攻击。在与Google威胁分析小组(TAG)合作的过程中,专家们发现了2020年第一季度的水坑袭击,该袭击是由一个非常老练的演员实施的。
零号项目专家发现该活动针对Windows和Android系统。攻击背后的威胁行为者利用了Android,Windows中的多个零日漏洞和n日漏洞,并将它们与Chrome漏洞联系在一起。
“我们发现了两个漏洞利用服务器,它们通过水坑攻击提供了不同的漏洞利用链。一台服务器针对Windows用户,另一台针对Android。Windows和Android服务器都使用Chrome漏洞利用程序来执行初始远程代码。” 读取零号项目发布的分析。“ Chrome和Windows的漏洞利用时间为0日。对于Android,漏洞利用链使用了众所周知的n日漏洞利用。基于演员的复杂程度,我们认为他们很可能可以使用Android 0日,但我们在分析中未发现任何漏洞。”
这些攻击利用了两个漏洞利用服务器,它们在水坑攻击中通过不同的漏洞利用链触发了多个漏洞,
两台服务器都托管了漏洞,以触发Google Chrome漏洞,从而在访问者的设备上获得了立足之地。攻击者利用Windows和Android漏洞来接管受害者的设备。
专家们能够从漏洞利用服务器中提取以下代码:
- Renderer利用Chrome中的四个bug,其中一个在发现之时仍为0日。
- Windows中的两个沙盒逃避漏洞滥用了三个0日漏洞。
- 一个“特权升级工具包”,其中包含针对较旧版本的Android的众所周知的n日漏洞。
攻击者使用的锁链包括以下0日漏洞:
- CVE-2020-6418 – TurboFan中的Chrome漏洞(于2020年2月修复)
- CVE-2020-0938 – Windows上的字体漏洞(2020年4月修复)
- CVE-2020-1020 – Windows上的字体漏洞(2020年4月修复)
- CVE-2020-1027 – Windows CSRSS漏洞(2020年4月修复)
零项目团队花了许多个月的时间详细分析了此活动中使用的攻击链的每个部分,他们在6个单独的报告中详细介绍了他们的发现:
Google强调了该活动的复杂程度,威胁参与者的资源似乎充足,整体操作精心设计。
Google总结道:“它们是精心设计的,复杂的代码,具有多种新颖的利用方法,成熟的日志记录,复杂且经过计算的利用后技术以及大量的反分析和目标检查。”
“我们相信专家团队已经设计并开发了这些漏洞利用链,”
*编译:Domino
*来自:securityaffairs