Hackers rusos usaron un zero-day de Safari para atacar a usuarios de LinkedIn
Ciberdelincuentes utilizaron una vulnerabilidad de día cero de Safari para enviar enlaces maliciosos a funcionarios gubernamentales en Europa occidental a través de LinkedIn. Esto lo revelaron investigadores de Google que descubrieron y reportaron la vulnerabilidad.
Los investigadores de Google Threat Analysis Group (TAG) y Google Project Zero revelaron el incidente el miércoles cuando publicaron un informe detallado. Los investigadores, en particular, detallaron cómo los atacantes explotaron las vulnerabilidades, cuya prevalencia iba en aumento. Esto antes de que fueran abordadas por sus respectivos proveedores.
Los investigadores de TAG descubrieron la vulnerabilidad de Safari WebKit, identificada como CVE-2021-1879, el 19 de marzo. La vulnerabilidad permitía el procesamiento de contenido web creado con fines malintencionados para scripts de sitios cruzados universales. Afortunadamente, Apple la corrigió en una actualización a finales de ese mes.
Explotación
Antes de la corrección, los investigadores afirman que ciberdelincuentes rusos estaban explotando la vulnerabilidad en el entorno mediante el uso de LinkedIn. Los atacantes enviaban a funcionarios gubernamentales de países de Europa occidental enlaces maliciosos. Estos enlaces podrían recopilar cookies de autenticación de sitios web, según la publicación de Maddie Stone y Clement Lecigne de Google TAG.
“Si el objetivo visitaba el enlace desde un dispositivo iOS, sería redirigido a un dominio controlado por el atacante que servía para los payloads de la siguiente etapa”.
El exploit, que tenía como objetivo las versiones de iOS 12.4 a 13.7, desactivaba las protecciones de la política del mismo origen en un dispositivo infectado. Esto para recopilar cookies de autenticación de varios sitios web populares, incluidos Google, Microsoft, LinkedIn, Facebook y Yahoo. Posteriormente, esa información era enviada a través de WebSocket a una IP controlada por un atacante. La víctima debía tener una sesión abierta en estos sitios web desde Safari para que las cookies se exfiltraran con éxito.
Además, la campaña dirigida a dispositivos iOS coincidió con otras del mismo actor de amenazas, que Microsoft ha identificado como Nobelium. Estas campañas estaban dirigidas a usuarios de dispositivos Windows para enviar Cobalt Strike.
Se cree que Nobellium es un grupo de amenazas ruso responsable de la campaña expansiva de ciberespionaje SolarWinds. El ataque a SolarWinds afectó a numerosas agencias gubernamentales y empresas de tecnología de Estados Unidos, incluida Microsoft.
Otros ataques de día cero
Los investigadores de Google también vincularon tres vulnerabilidades adicionales de día cero que identificaron este año con un proveedor de vigilancia comercial, según Shane Huntley de Google TAG. Dos de esas vulnerabilidades, CVE-2021-21166 y CVE-2021-30551, se encontraron en Chrome, y una, identificada como CVE-2021-33742, en Internet Explorer.
CVE-2021-21166 y CVE-2021-30551, dos vulnerabilidades de ejecución remota de código (RCE) de Chrome, se identificaron por separado. Sin embargo, se cree que fueron utilizadas por el mismo actor. Los investigadores de Google descubrieron la primera en febrero y la segunda en junio.
“Ambos día cero se entregaron como enlaces únicos enviados por correo electrónico a los objetivos, todos los cuales creemos que estaban en Armenia. Los enlaces conducían a dominios controlados por atacantes que imitaban sitios web legítimos relacionados con los usuarios objetivo”.
Exploits
Cuando las posibles víctimas hicieron clic en el enlace, fueron redirigidas a una página web que capturó todos los datos del dispositivo. Asimismo, recopilaron información del sistema sobre el cliente y generaron claves ECDH para cifrar los exploits.
Esta información, que incluía resolución de pantalla, zona horaria, idiomas, complementos de navegador y MIME Types disponibles, era crucial. La información se enviaba de vuelta al servidor de exploits y los atacantes la utilizaban para decidir si enviaban o no un exploit al objetivo.
Los investigadores también identificaron una campaña separada en abril que también se dirigió a los usuarios armenios al aprovechar CVE-2021-26411. CVE-2021-26411 es una vulnerabilidad de RCE que se encuentra en Internet Explorer (IE). La campaña cargó contenido web dentro de IE que contenía documentos maliciosos de Office.
“Esto sucedió al incrustar un objeto ActiveX remoto usando un objeto OLE Shell.Explorer.1 o al generar un proceso de Internet Explorer a través de macros VBA para navegar a una página web”.
Stone y Lecigne.
En ese momento, los investigadores dijeron que no pudieron obtener el payload de la siguiente etapa. Sin embargo, recuperaron con éxito el exploit después de descubrir una campaña de principios de junio de los mismos atacantes. Microsoft corrigió la vulnerabilidad más tarde ese mismo mes.
¿Por qué hay un aumento en los días cero?
En total, los investigadores de seguridad han identificado 33 vulnerabilidades de día cero hasta ahora en 2021. Esto significa que se han encontrado 11 más que el número total de 2020.
Si bien esa tendencia refleja un aumento en el número de este tipo de vulnerabilidades que existen, los investigadores de Google son optimistas. Ellos creen que un mayor esfuerzo de detección y divulgación también está contribuyendo a la tendencia al alza.
Aún así, es muy posible que los atacantes estén usando más exploits de día cero por algunas razones, acotaron los investigadores. Una es que el aumento y la evolución de las tecnologías y características de seguridad significa que los atacantes también tienen que subir de nivel. Esto a su vez requiere más vulnerabilidades de día cero para las cadenas de ataque funcionales.
El crecimiento de las plataformas móviles también ha resultado en un aumento en la cantidad de productos a los que los actores de amenazas quieren apuntar. Por lo tanto, existen más razones para usar exploits de día cero. Quizás inspirados por este aumento en la demanda, los proveedores comerciales también están vendiendo más acceso a zero-days que a principios de la década de 2010.
Finalmente, la evolución de las protecciones y estrategias de seguridad también inspira sofisticación por parte de los atacantes. Esto aumenta la necesidad de que utilicen vulnerabilidades de día cero para convencer a las víctimas de que instalen malware.
“Debido a los avances en seguridad, estos actores ahora tienen que usar exploits de día cero con mayor frecuencia para lograr sus objetivos”.
Conclusiones de los investigadores.