해커는 제로 데이를 사용하여 Windows 및 Android 장치를 감염 시켰습니다.
구글 연구원들은이 캠페인이 "매우 정교한 배우"에 의해 수행되었다고 말합니다.
GOOGLE 연구원은Chrome 및 Windows의 취약점을 악용 하여 Android 및 Windows 장치에 맬웨어 를 설치 하는 정교한 해킹 작업을 자세히 설명 합니다.
일부 익스플로잇은 제로 데이였으며, 이는 당시 Google, Microsoft 및 대부분의 외부 연구자들에게 알려지지 않았던 취약점을 표적으로 삼았습니다. (두 회사는 그 이후로 보안 결함을 패치했습니다.) 해커는 관심 대상이 자주 방문하는 사이트를 손상시키고 방문자의 장치에 맬웨어를 설치하는 코드를 사이트에 묶는 워터 링 홀 공격을 통해 익스플로잇을 전달했습니다. 부비 트랩 사이트는 2 개의 익스플로잇 서버를 사용했습니다. 하나는 Windows 사용자 용이고 다른 하나는 Android 사용자 용입니다.
제로 데이 익스플로잇과 복잡한 인프라의 사용은 그 자체가 정교함의 신호는 아니지만 전문 해커 팀의 평균 이상의 기술을 보여줍니다. 여러 익스플로잇을 효율적으로 연결 한 공격 코드의 견고성과 결합 된이 캠페인은 "매우 정교한 행위자"에 의해 수행되었음을 보여줍니다.
"이러한 익스플로잇 체인은 모듈성을 통해 효율성과 유연성을 위해 설계되었습니다."라고 Google의 Project Zero 연구팀의 한 연구원 은 썼습니다 . “다양한 새로운 악용 방법, 성숙한 로깅, 정교하고 계산 된 악용 후 기술, 대량의 안티 분석 및 표적 검사를 통해 잘 설계된 복잡한 코드입니다. 우리는 전문가 팀이 이러한 익스플로잇 체인을 설계하고 개발했다고 믿습니다. "
페이로드의 모듈성, 상호 교환 가능한 익스플로잇 체인, 작업의 로깅, 타겟팅 및 성숙도 또한 캠페인을 차별화한다고 연구원은 말했습니다.
악용 된 4 개의 제로 데이는 다음과 같습니다.
CVE-2020-6418 —TurboFan의 Chrome 취약성 (2020 년 2 월 수정 됨)
CVE-2020-0938 —Windows의 글꼴 취약성 (2020 년 4 월 수정 됨)
CVE-2020-1020 —Windows의 글꼴 취약성 (2020 년 4 월 수정 됨)
CVE-2020-1027 —Windows CSRSS 취약성 (2020 년 4 월 수정 됨)
공격자는 Chrome 제로 데이와 최근 패치 된 여러 Chrome 취약점을 악용하여 원격 코드 실행을 획득했습니다. 모든 제로 데이는 Windows 사용자에게 사용되었습니다. Android 기기를 대상으로하는 공격 체인 중 어떤 것도 제로 데이를 악용하지 않았지만 Project Zero 연구원은 공격자가 원하는대로 Android 제로 데이를 사용할 가능성이 있다고 말했습니다.
전체적으로 Project Zero는 연구원들이 발견 한 익스플로잇과 포스트 익스플로잇 페이로드를 자세히 설명하는 6 개의 기사를 게시했습니다. 다른 부분은 Chrome 무한 버그 , Chrome 악용 , Android 악용 , Android 이후 악용 페이로드 및 Windows 악용에 대해 설명합니다 .
이 시리즈의 목적은 보안 커뮤니티 전체를 지원하여 복잡한 맬웨어 작업을보다 효과적으로 방지하는 것입니다. "우리는이 블로그 게시물 시리즈가 다른 사람들에게 실제 세계의 성숙하고 아마도 자원이 풍부한 행위자의 착취에 대해 심층적으로 보여주기를 바랍니다."라고 Project Zero 연구원은 썼습니다.