Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft ostrzega przed kampanią hakerów SolarWinds. Od prostego .lnk po 0-day na iOS
Każdy z pewnością słyszał o głośnym ataku na podmioty rządowe Stanów Zjednoczonych dokonanym przez „tylną furtkę” w oprogramowaniu SolarWinds. Wśród jego ofiar możemy znaleźć również firmy zajmujące się cyberbezpieczeństwem, takie jak np. FireEye czy Malwarebytes. 27 maja firma Microsoft opublikowała szczegółowy raport dotyczący nowej kampanii tej samej grupy:
Według MS największym zainteresowaniem atakujących cieszyły się Stany Zjednoczone, choć atakami zostały objęte organizacje z aż 24 krajów:
Co do samych ataków – to polegały one głównie na wiadomościach spear phishingowych, dostarczających złośliwe oprogramowanie. Za pomocą pliku obrazu dysku (.iso) użytkownik był nakłaniany do uruchomienia skrótu (.lnk), który wykorzystywał Rundll do aktywowania złośliwego pliku .dll:
W kampanii wykorzystywano różne metody ataku. Na przykład zamiast złośliwego oprogramowania w formie .lnk atakujący używali również 0-day (CVE-2021-1879) w WebKit, aby zaatakować użytkowników systemu iOS:
Błąd wykorzystywany przez APT został naprawiony 26 marca:
Co ciekawe, według opisu błąd pozwalał na uniwersalny cross-site scripting (XSS). Sam raport Microsoftu nie sprecyzował wykorzystania tego błędu, jednak warto mieć na uwadze fakt, że exploty do przeglądarki mogą zazwyczaj pełnić funkcję zarówno uniwersalnego XSS-a, jak i RCE (remote code execution). Aby uruchomić złośliwe oprogramowanie na urządzeniu iOS, atakujący musieliby połączyć exploit w WebKit z innym – tak, aby osiągnąć remote jailbreak i przejąć kontrolę nad urządzeniem.
~ Jakub Bielaszewski