अप्रैल में वापस, Kaspersky के विशेषज्ञों ने Google Chrome और Microsoft Windows के लिए पहले अनदेखे शून्य-दिनों का उपयोग करके कई कंपनियों के खिलाफ कारनामों का उपयोग करते हुए अत्यधिक लक्षित साइबर हमलों की एक श्रृंखला का खुलासा किया। नया खतरा अभिनेता पहेली निर्माता कार्रवाई में है।
Kaspersky अब तक जाने-माने थ्रेट एक्टर्स से कनेक्ट नहीं हो पाया है, इसलिए वह इस नए थ्रेट एक्टर पज़लमेकर को कॉल करता है। एक कारनामे का उपयोग क्रोम वेब ब्राउज़र में रिमोट कोड निष्पादन के लिए किया गया था, दूसरे का उपयोग विशेषाधिकार के उन्नयन के लिए किया गया था और विंडोज 10 के नवीनतम और सबसे लोकप्रिय बिल्ड को लक्षित किया गया था। उत्तरार्द्ध Microsoft विंडोज ऑपरेटिंग सिस्टम कर्नेल में दो कमजोरियों का फायदा उठाता है: भेद्यता CVE-2021-31955 और विशेषाधिकार भेद्यता CVE-2021-31956 का उन्नयन। माइक्रोसॉफ्ट ने पैच मंगलवार के हिस्से के रूप में कल शाम दोनों को पैच किया।
शून्य दिवस पहेली निर्माता
पिछले कुछ महीनों में, कई उन्नत खतरे वाली गतिविधियाँ हुई हैं जो शून्य-दिनों का फायदा उठाती हैं। अप्रैल के मध्य में, Kaspersky के विशेषज्ञों ने कई कंपनियों के खिलाफ अत्यधिक लक्षित शोषण हमलों की एक नई लहर की खोज की, जहां हमलावर गुप्त रूप से लक्षित नेटवर्क से समझौता कर सकते थे। सभी हमले क्रोम के माध्यम से किए गए थे और एक शोषण का इस्तेमाल किया गया था जो रिमोट कोड निष्पादन की अनुमति देता था।
Kaspersky के शोधकर्ता दूरस्थ निष्पादन शोषण के लिए कोड प्राप्त करने में असमर्थ थे, लेकिन समय और उपलब्धता से संकेत मिलता है कि हमलावरों ने अब पैच की गई भेद्यता CVE-2021-21224 का शोषण किया। यह V8 में एक प्रकार के बेमेल बग से संबंधित है - क्रोम और क्रोमियम वेब ब्राउज़र द्वारा उपयोग किया जाने वाला एक जावास्क्रिप्ट इंजन। इसने खतरे वाले अभिनेताओं को क्रोम रेंडरर प्रक्रिया का फायदा उठाने की अनुमति दी, जो उपयोगकर्ता के टैब के अंदर क्या होता है इसके लिए जिम्मेदार है।
Microsoft Windows कर्नेल में दो भेद्यताएँ
हालांकि, कास्परस्की विशेषज्ञ दूसरे कारनामे की पहचान और विश्लेषण करने में सक्षम थे। यह प्रिविलेज शोषण का उन्नयन है जो माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम कर्नेल में दो कमजोरियों का शोषण करता है। पहला एक सूचना प्रकटीकरण भेद्यता है जिसे CVE-2021-31955 कहा जाता है जो संवेदनशील कर्नेल जानकारी को लीक करता है। भेद्यता SuperFetch से संबंधित है, एक सुविधा जिसे पहली बार Windows Vista में पेश किया गया था जिसे स्मृति में अक्सर उपयोग किए जाने वाले अनुप्रयोगों को प्रीलोड करके सॉफ़्टवेयर लोड समय को कम करने के लिए डिज़ाइन किया गया था।
दूसरा विशेषाधिकार भेद्यता का उन्नयन है जो हमलावरों को कर्नेल से समझौता करने और कंप्यूटर तक उन्नत पहुंच प्राप्त करने की अनुमति देता है। इसका पदनाम CVE-2021-31956 है और यह हीप-आधारित बफर ओवरफ्लो है। हमलावरों ने CVE-2021-31956 भेद्यता का उपयोग Windows अधिसूचना सुविधा (WNF) के साथ मिलकर स्मृति में मनमाने ढंग से पढ़ने और लिखने के लिए आदिम बनाने और सिस्टम विशेषाधिकारों के साथ मैलवेयर मॉड्यूल चलाने के लिए किया।
मैलवेयर ड्रॉपर रिमोट शेल मॉड्यूल को फिर से लोड करता है
एक बार हमलावरों ने लक्ष्य प्रणाली पर पैर जमाने के लिए क्रोम और विंडोज दोनों का उपयोग किया है, तो स्टेगर मॉड्यूल डाउनलोड करता है और एक दूरस्थ सर्वर से अधिक जटिल मैलवेयर ड्रॉपर चलाता है। यह तब दो निष्पादन योग्य फ़ाइलों को स्थापित करता है जो वैध Microsoft Windows ऑपरेटिंग सिस्टम फ़ाइलों के रूप में होती हैं। इन दो निष्पादकों में से दूसरा एक दूरस्थ शेल मॉड्यूल है जो फ़ाइलों को डाउनलोड और अपलोड करने, प्रक्रियाओं को बनाने, निर्दिष्ट समय के लिए निष्क्रिय होने और संक्रमित सिस्टम से खुद को हटाने में सक्षम है। माइक्रोसॉफ्ट ने पैच ट्यूजडे के हिस्से के रूप में दोनों विंडोज कमजोरियों के लिए एक पैच जारी किया।
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी