谷歌详细介绍了iOS、Chrome、IE最近在野外被利用的零日漏洞

谷歌的威胁情报研究人员周三对Chrome、Safari和Internet Explorer浏览器中的四个“零日”事件进行了更多的研究，这些浏览器自今年年初以来在不同的活动中被恶意参与者利用。

更重要的是，四个零日中有三个是由商业供应商设计的，并出售给政府支持的参与者，供他们使用，这导致了现实世界中的攻击增加。现在修补的漏洞列表如下-

• CVE-2021-1879：在QuickTimePluginReplacement（Apple WebKit）中免费使用
• CVE-2021-21166：音频中的Chrome对象生命周期问题
• CVE-2021-30551：V8中的Chrome类型混淆
• CVE-2021-33742：Internet Explorer越界在MSHTML中写入

都是零天—；CVE-2021-21166和CVE-2021-30551—；据信是由同一参与者使用的，并作为一次性链接通过电子邮件发送到位于亚美尼亚的目标，这些链接将毫无戒备的用户重定向到攻击者控制的域，这些域伪装成收件人感兴趣的合法网站。

在交付第二阶段有效载荷之前，这些恶意网站负责对设备进行指纹识别，包括收集有关客户端的系统信息。

当谷歌推出CVE-2021-30551的补丁时，谷歌威胁分析小组（TAG）主任肖恩·亨特利（Shane Huntley）透露，该漏洞是由滥用CVE-2021-33742的同一个参与者利用的，微软在6月8日的周二更新补丁中解决了Windows MSHTML平台中一个被积极利用的远程代码执行漏洞。

亨特利此前补充称，这两个零日是由一名商业剥削经纪人提供给一个民族国家对手的，该对手利用这两个零日对东欧和中东的目标进行有限的攻击。

根据该团队发布的技术报告，所有这三个零日都是“由同一家商业监控公司开发的，该公司将这些功能出售给了两个不同的政府支持的参与者”，并补充说，Internet Explorer漏洞被用于一场针对亚美尼亚用户的运动，该运动的目标是恶意Office文档，这些文档在web浏览器中加载了web内容。

谷歌没有透露利用漏洞的中间人的身份，也没有透露利用这些漏洞进行攻击的两名威胁参与者的身份。

SolarWinds黑客利用iOS Zero Day

The Safari zero-day, in contrast, concerned a WebKit flaw that could enable adversaries to process maliciously crafted web content that may result in universal cross-site scripting attacks. The issue was rectified by Apple on March 26, 2021.

利用CVE-2021-1879进行的攻击，谷歌将其归因于“可能有俄罗斯政府支持的参与者”，通过LinkedIn向政府官员发送恶意链接，当从iOS设备上单击时，该链接会将用户重定向到提供下一阶段有效载荷的恶意域。

值得注意的是，此次攻击还反映了被追踪为Nobelium的俄罗斯黑客发起的一波有针对性的攻击，该攻击被发现滥用攻击政府机构、智库、顾问和非政府组织的漏洞，作为电子邮件钓鱼活动的一部分。

与俄罗斯对外情报局（SVR）有关联的威胁行动方诺贝利厄姆也被怀疑策划了去年年底的太阳林供应链袭击。其他别名如APT29、UNC2452（FireEye）、SolarStorm（42单元）、StellarParticle（Crowdstrike）、Dark Halo（Volexity）和Iron Ristice（Secureworks）都知道它。

标签研究者Maddie Stone和克莱门特.莱格尼指出：“截止到2021，在今年公开披露的攻击中，已经有33起零日攻击，8212比11的总数多了11。”“虽然使用的零日漏洞数量有所增加，但我们认为，更大的检测和披露力度也在推动这一上升趋势。”