Группировка PuzzleMaker атакует компании с помощью 0Day-уязвимостей в Chrome и Windows 10

Специалисты компании «Лаборатория Касперского» сообщили о волне целевых атак, использующих цепочку уязвимостей нулевого дня в браузере Google Chrome и ОС Windows 10 для компрометации компаний по всему миру.

Организатором кампании, по данным исследователей, является новая группировка PuzzleMaker, а первые атаки были обнаружены в середине апреля 2021 года.

Цепочка уязвимостей, использованных в атаках, включает проблему удаленного выполнения кода в движке Google Chrome V8 JavaScript («ЛК» не удалось получить полный эксплоит для этой уязвимости), а также две уязвимости в Windows - CVE-2021-31955 (раскрытие информации в ядре Windows) и CVE-2021-31956 (повышение привилегий в Windows NTFS). Компания Microsoft исправила обе проблемы в рамках июньского «вторника исправлений».

Злоумышленники получают доступ к целевой системе через уязвимость в Chrome, а затем эксплуатируют CVE-2021-31955 и CVE-2021-31956 для компрометации Windows. По словам экспертов, PuzzleMaker использовала механизм уведомлений (Windows Notification Facility, WNF) совместно с эксплуатацией CVE-2021-31956 для выполнения вредоносных модулей на системе.

«После эксплуатации уязвимостей в Chrome и Windows для доступа к целевой системе атакующие инициировали загрузку с удаленного сервера и выполнение более сложного дроппера […] Этот дроппер устанавливает два исполняемых файла, замаскированных под легитимные файлы Windows. Второй из этих файлов представляет собой шелл-оболочку, способную выгружать файлы, создавать процессы, входить в режим сна на определенное время и удалять себя с зараженной системы», - пояснили исследователи.

Более подробная техническая информация, а также индикаторы компрометации доступны в блоге «ЛК».