«Русские хакеры» атаковали пользователей LinkedIn через уязвимость 0-day в Safari

[Artifact]

Google приоткрыла завесу над атаками с использованием четырех уязвимостей нулевого дня.

Исследователи безопасности компании Google представили дополнительную информацию о четырех уязвимостях нулевого дня в Google Chrome, Internet Explorer и WebKit (движке браузера Apple Safari), эксплуатировавшихся в хакерских атаках и исправленные ранее в нынешнем году.
Речь идет о следующих уязвимостях:
CVE-2021-21166 – проблема жизненного цикла объекта Audio в Chrome;
CVE-2021-30551 – несоответствие типов вводимых данных в V8 в Chrome;
CVE-2021-33742 – запись за пределами выделенной области памяти в MSHTML в Internet Explorer;
CVE-2021-1879 – использование памяти после высвобождения в QuickTimePluginReplacement в WebKit (Safari).
Как сообщил глава подразделения Google Threat Analysis Group Шейн Хантли (Shane Huntley), специалисты связали атаки с эксплуатацией трех уязвимостей с поставщиком коммерческих инструментов для хакинга, чьими услугами пользуются спецслужбы, а еще одну уязвимость – с APT-группой, предположительно российской.
По словам Хантли, в первой половине нынешнего года злоумышленники использовали в атаках 33 уязвимости нулевого дня, которые были публично раскрыты, что на 11 больше по сравнению с прошлым годом.
Эксплоиты для уязвимостей в Google Chrome и Internet Explorer были разработаны одним и тем же производителем коммерческих инструментов для слежения, который продавал их правоохранительным органам. Эти эксплоиты не использовались в масштабных вредоносных кампаниях, чего нельзя сказать об уязвимости в WebKit, эксплуатировавшейся в атаках на высокопоставленных лиц в западноевропейских странах. В ходе вредоносной кампании, нацеленной на iOS-устройства с устаревшими версиями iOS (от 12.4 до 13.7), злоумышленники рассылали жертвам вредоносные ссылки в сообщениях на LinkedIn.
Итоговой целью злоумышленников был сбор cookie-файлов для авторизации на нескольких популярных сайтах, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, и передача их через WebSocket на подконтрольные хакерам IP-адреса.
Хотя Google не связывает атаки с какой-то конкретной группировкой, по мнению специалистов Microsoft, ответственность за них лежит на Nobelium, известной своей атакой на SolarWinds.