卡巴斯基的安全研究人员近日发现了一个名为 PuzzleMaker 的恶意攻击者,他利用 Google Chrome 浏览器和 Windows 10 的零日漏洞链,对全球多家公司进行了有高度针对性的攻击。
据卡巴斯基的报告,由 PuzzleMaker 发起的攻击在 4 月中旬首次被发现,该漏洞链中的第一个漏洞是 CVE-2021-21224,这是 Chrome 浏览器在 90.0.4430.85 版本之前的一个 V8 引擎漏洞。该恶意行为利用 Chrome V8 JavaScript 引擎中的远程代码执行漏洞访问目标的系统。
之后,PuzzleMaker 攻击者使用了定制的权限提升漏洞,通过滥用 Windows 内核中的信息披露漏洞(CVE-2021-31955)和 Windows NTFS 权限提升漏洞(CVE-2021-31956)来破坏最新的 Windows 10 版本,其中前者通常用于披露运行进程的 Eprocess 结构内核的地址,后者可被利用来获得更高系统权限。
当把上述这些漏洞联系在一起时,攻击者就能够跳出沙盒并在目标机器上以系统权限执行恶意代码。
除了上述漏洞利用外,整个攻击链还包括其他 4 个恶意软件模块,即 Stager、Dropper、Service 和 Remote Shell。Stager 模块用于通知用户提取成功,还从远程站点下载并执行更复杂的恶意软件 Dropper 模块。
每个 stager 模块都会向目标分发使用自定义配置的 blob,其中包括 C&C URL、会话 ID、解密下一个恶意软件阶段的密钥以及其他信息。
Dropper 模块用于安装两个伪装成微软官方的 Windows 操作系统文件的可执行程序。其中一个程序 (WmiPrvMon.exe, % SYSTEM) 能够注册为一项服务,并用作第二个可执行文件的启动程序。第二个可执行文件 (% SYSTEM % wmimon.dll) 具有远程 shell 的功能,可以被视为攻击的主要负载。
远程 shell 模块具有指向命令和控制服务器 (media-seoengine.com) 的硬编码 URL。C&C 服务器和客户端之间的所有通信都经过身份验证和加密。远程 shell 模块可以下载和上传数据、启动和停止程序、休眠指定时间段以及在必要时从受感染的计算机中删除自身。
目前,Google 已在 4 月 20 日针对 Chrome V8 引擎中的 CVE-2021-21224 漏洞推出了软件更新,微软也已经于周二发布的 6 月补丁中修复了 CVE-2021-31955 和 CVE-2021-31956 漏洞。建议所有未更新的用户都更新这些补丁,以避免遭遇恶意软件攻击。
猜你喜欢: