Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う

Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day

2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。

・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879

また Google は、この4つのゼロデイについて、原因の分析結果も公開している。

・ CVE-2021-1879 : QuickTimePluginReplacement の開放後メモリ使用
・ CVE-2021-21166 : Chrome Object Lifecycle の Audio の問題
・ CVE-2021-30551 : Chrom V8 のタイプ・コンヒュージョン
・ CVE-2021-33742 : Internet Explorer の MSHTML における境界外の書き込み

Google Threat Analysis Group のディレクターである Shane Huntley は、「このうちの3件は、政府の支援を受けた攻撃者を武装させる、商用監視ベンダーからの可能性が高く、また、1件はロシアの APT の可能性が高いと考える。2021年の前半が過ぎたが、攻撃に使用されたとして、今年に公開されたゼロデイ・エクスプロイトは 33件であり、2020年の合計件数よりも 11件多い。悪用されたゼロデイ・エクスプロイト数が増加している一方で、検出と開示の取り組みの強化も、増加傾向に寄与していると考える」と述べている。

Chromeと Internet Explorer のゼロデイ・エクスプロイトは、同一のベンダーにより開発され、監視能力を高めたいと考える顧客に販売されていたが、目立ったキャンペーンには使用されなかった。しかし、Googleによると、WebKit Safari の脆弱化 CVE-2021-1879 に関しては、LinkedIn Messaging を介して、西ヨーロッパ諸国の政府関係者を対象に、悪意のリンクを送信するために使用されたとのことだ。

この攻撃者はロシア政府の支援を受けて、iOS 12.4~13.7 といった古いバージョンを搭載した、iOS デバイスを狙っている可能性が高いという、Google の研究者たちのコメントが、この記事では紹介されています。Google は、この脆弱性と特定の脅威グループを結びつけていませんが、Microsoftは、昨年の SolarWinds 攻撃で米国連邦政府機関に情報漏洩を引き起こした、国家支援のハッキング・グループ Nobelium が犯人だとしています。また、サイバー・セキュリティ企業の Volexity は、2018年の攻撃で観察された戦術に基づき、今回の攻撃をロシアの SVR と結びつけました。

この4月に米国政府は、ロシア対外情報庁 (通称SVR) が、APT29 / The Dukes / Cozy Bear と呼ばれるハッキング部門を通じて、広範なサイバー・スパイ・キャンペーンを実施したとして正式に非難しています。Google は、この攻撃の最終目的について、Google / Microsoft / LinkedIn / Facebook / Yahoo などの Web サイトから認証クッキーを収集し、WebSocket 経由で攻撃者が管理する IP に送信することだと述べているそうです。

Microsoft 2021-07 月例アップデートは 9件のゼロデイと 117件の脆弱性に対応
SolarWinds Serv-U 脆弱性が悪用されている:パッチの適用は必須!
DarkReading レポート:マルウェアの危険性について再考しよう
100万ドルの手付金でゼロデイ・エクスプロイトを買い付けるハッカーとは?
Morgan Stanley のサードパーティ Accellion にデータ侵害が発生

%d bloggers like this: