SolarWinds黑客利用iOS 0 day入侵iPhone|CVE-2021-1879

SolarWinds黑客利用iOS 0 day入侵iPhone|CVE-2021-1879

据谷歌称,SolarWinds 黑客利用该漏洞从西欧政府官员那里窃取了网络安全凭证。

谷歌周三发布了一份报告,分享了其对2020 年发现的SolarWinds 供应链攻击的最新调查结果的详细信息。

最新消息是,SolarWinds 黑客了解到并利用了位于浏览器引擎 WebKit 中的 iOS 零日漏洞(跟踪为CVE-2021-1879)来破坏更新的 iPhone,并通过针对全球手机赚取数百万美元。

谷歌研究人员 Maddie Stone 和 Clement Lecitne 写道,威胁行为者很可能是俄罗斯政府资助的组织,利用当时未知的iOS 零日漏洞。怀疑黑客正在为俄罗斯外国情报局工作。

CVE-2021-1879 详细信息

SolarWinds黑客利用iOS 0 day入侵iPhone|CVE-2021-1879

此问题已通过改进对象生存期管理得到解决。
此问题已在 iOS 12.5.2、iOS 14.4.2 和 iPadOS 14.4.2、watchOS 7.3.3 中修复。
处理恶意制作的 Web 内容可能会导致通用跨站点脚本。
Apple 获悉一份报告,称此问题可能已被积极利用。

WebKit (Safari):CVE-2021-1879

并非所有攻击都需要链接多个 0 日漏洞才能成功。最近的一个例子是CVE-2021-1879,它于2021 年 3 月 19 日被 TAG 发现,并被一个可能由俄罗斯政府支持的黑客使用。

在此活动中,攻击者使用 LinkedIn Messaging 向西欧国家的政府官员发送恶意链接,以攻击他们。如果目标从 iOS 设备访问该链接,他们将被重定向到攻击者控制的域,该域为下一阶段的有效负载提供服务。针对 iOS 设备的活动恰逢同一参与者针对 Windows 设备上的用户发起的活动,以提供 Cobalt Strike,Volexity.之前描述了其中之一

经过多次验证检查以确保被利用的设备是真实设备后,最终有效载荷将用于利用 CVE-2021-1879。此漏洞会关闭同源策略保护,以便从多个流行网站(包括 Google、Microsoft、LinkedIn、Facebook 和 Yahoo)收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP。受害者需要从 Safari 在这些网站上打开一个会话,才能成功泄露 cookie。没有通过此漏洞提供沙箱逃逸或植入。该漏洞针对 iOS 12.4 到 13.7 版本。这种类型的攻击由 Amy Burnett 在Forget the Sandbox Escape: Abusing Browsers from Code Execution 中描述,在浏览器中得到缓解,启用站点隔离,例如 Chrome 或 Firefox。 

相关侵害指标

  • supportcdn.web[.]app
  • vegmobile[.]com
  • 111.90.146[.]198

参考

SolarWinds黑客利用iOS 0 day入侵iPhone|CVE-2021-1879

西欧政府是主要目标

据报道,这次网络攻击是为从西欧政府窃取网络安全凭证而发起的电子邮件活动的一部分。黑客通过LinkedIn向政府官员发送信息。

Google 威胁分析小组负责人 Shane Huntley 证实,尽管这两个活动完全不同,但 USAID 攻击和 iOS 零日攻击之间确实存在联系。

“这是两个不同的活动,但根据我们的调查,我们认为 WebKit 0-day 和 USAID 活动背后的参与者是同一组参与者。需要注意的是,每个人对演员界限的划分都不同。在这种特殊情况下,我们与美国和英国政府对 APT 29 的评估保持一致,”亨特利指出

面向 Windows 和 iOS

微软研究人员透露,Nobelium(该公司用来指代 SolarWinds 攻击者的名称)也向 Windows 用户发送了恶意软件。他们首先入侵了一个名为 Constant Contact 的在线营销公司的 USAID 帐户。

然后,他们使用此帐户向属于美国民间对外援助和发展援助管理组织的地址发送电子邮件。

另一方面,攻击者的目标是 iOS 12.4 到 13.7 版本。在这次活动中,他们将用户重定向到部署了恶意负载的域,甚至是更新的 iPhone。

这些payloads的任务是从各种网站收集身份验证 cookie,包括 Facebook、LinkedIn、谷歌和雅虎。数据后来通过WebSocket发送给黑客。

Leave a Reply

您的电子邮箱地址不会被公开。