Microsoft ostrzega przed kampanią hakerów SolarWinds. Od prostego .lnk po 0-day na iOS

Każdy z pewnością słyszał o głośnym ataku na podmioty rządowe Stanów Zjednoczonych dokonanym przez „tylną furtkę” w oprogramowaniu SolarWinds. Wśród jego ofiar możemy znaleźć również firmy zajmujące się cyberbezpieczeństwem, takie jak np. FireEye czy Malwarebytes. 27 maja firma Microsoft opublikowała szczegółowy raport dotyczący nowej kampanii tej samej grupy:

Microsoft Threat Intelligence Center (MSTIC) has uncovered a wide-scale malicious email campaign operated by NOBELIUM, the threat actor behind the attacks against SolarWinds, the SUNBURST backdoor, TEARDROP, GoldMax, and other related components. https://t.co/cBxn9dGozL

— Microsoft Security Intelligence (@MsftSecIntel) May 28, 2021

Według MS największym zainteresowaniem atakujących cieszyły się Stany Zjednoczone, choć atakami zostały objęte organizacje z aż 24 krajów:

Co do samych ataków – to polegały one głównie na wiadomościach spear phishingowych, dostarczających złośliwe oprogramowanie. Za pomocą pliku obrazu dysku (.iso) użytkownik był nakłaniany do uruchomienia skrótu (.lnk), który wykorzystywał Rundll do aktywowania złośliwego pliku .dll:

W kampanii wykorzystywano różne metody ataku. Na przykład zamiast złośliwego oprogramowania w formie .lnk atakujący używali również 0-day (CVE-2021-1879) w WebKit, aby zaatakować użytkowników systemu iOS:

Błąd wykorzystywany przez APT został naprawiony 26 marca:

Co ciekawe, według opisu błąd pozwalał na uniwersalny cross-site scripting (XSS). Sam raport Microsoftu nie sprecyzował wykorzystania tego błędu, jednak warto mieć na uwadze fakt, że exploty do przeglądarki mogą zazwyczaj pełnić funkcję zarówno uniwersalnego XSS-a, jak i RCE (remote code execution). Aby uruchomić złośliwe oprogramowanie na urządzeniu iOS, atakujący musieliby połączyć exploit w WebKit z innym – tak, aby osiągnąć remote jailbreak i przejąć kontrolę nad urządzeniem.

~ Jakub Bielaszewski