谷歌称,SolarWinds 黑客利用该漏洞从西欧政府官员那里窃取了网络安全凭证。
谷歌周三发布了一份报告,分享了其对2020 年发现的SolarWinds 供应链攻击的最新调查结果的详细信息。
最新消息是,SolarWinds 黑客了解到并利用了位于浏览器引擎 WebKit 中的 iOS 零日漏洞(跟踪为CVE-2021-1879)来破坏更新的 iPhone,并通过针对全球手机赚取数百万美元。
谷歌研究人员 Maddie Stone 和 Clement Lecitne 写道,威胁行为者很可能是俄罗斯政府资助的组织,利用当时未知的iOS 零日漏洞。怀疑黑客正在为俄罗斯外国情报局工作。
CVE-2021-1879 详细信息
WebKit (Safari):CVE-221-1879
并非所有攻击都需要链接多个 0 日漏才能成功。最近的一个例子是CVE-2021-1879,它于2021 年 3 月 19 日被 TAG 发现,并被一个可能由俄罗斯政府支持的黑客使用。
在此活动中,攻击者使用 LinkedIn Messaging 向西欧国家的政府官员发送恶意链接,以攻击他们。如果目标从 iOS 设备访问该链接,他们将被重定向到攻击者控制的域,该域为下一阶段的有效负载提供服务。针对 iOS 设备的活动恰逢同一参与者针对 Windows 设备上的用户发起的活动,以提供 Cobalt Strike,Volexity.之前描述了其中之一。
经过多次验证检查以确保被利用的设备是真实设备后,最终有效载荷将用于利用 CVE-2021-1879。此漏洞会关闭同源策略保护,以便从多个流行网站(包括 Google、Microsoft、LinkedIn、Facebook 和 Yahoo)收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP。受害者需要从 Safari 在这些网站上打开一个会话,才能成功泄露 cookie。没有通过此漏洞提供沙箱逃逸或植入。该漏洞针对 iOS 12.4 到 13.7 版本。这种类型的攻击由 Amy Burnett 在Forget the Sandbox Escape: Abusing Browsers from Code Execution 中描述,在浏览器中得到缓解,启用站点隔离,例如 Chrome 或 Firefox。
面向 Windows 和 iOS
微软研究人员透露,Nobelium(该公司用来指代 SolarWinds 攻击者的名称)也向 Windows 用户发送了恶意软件。他们首先入侵了一个名为 Constant Contact 的在线营销公司的 USAID 帐户。
然后,他们使用此帐户向属于美国民间对外援助和发展援助管理组织的地址发送电子邮件。
另一方面,攻击者的目标是 iOS 12.4 到 13.7 版本。在这次活动中,他们将用户重定向到部署了恶意负载的域,甚至是更新的 iPhone。
这些payloads的任务是从各种网站收集身份验证 cookie,包括 Facebook、LinkedIn、谷歌和雅虎。数据后来通过WebSocket发送给黑客。
