Антивирусная компания «Лаборатория Касперского» сообщила о обнаружении в апреле 2021 года её экспертами ряд целевых атак, которые проводились через браузер Chrome с применением ранее неизвестных эксплойтов нулевого дня. Один из них позволял удалённо выполнять код в браузере, а второй, написанный для работы с новейшими и самыми распространёнными сборками Windows 10, — повышать привилегии. В настоящий момент уязвимости исправлены, патчи для них были выпущены 8 июня.
Эксперты сумели полностью проанализировать код эксплойта, повышающего привилегии в системе, и выяснили, что он эксплуатировал две уязвимости в ядре ОС Microsoft Windows. Первая из них, получившая номер CVE-2021-31955, — это уязвимость раскрытия информации в ntoskrnl.exe. Она связана с функцией SuperFetch, которая направлена на сокращение времени загрузки ПО за счёт предварительной загрузки часто используемых приложений в оперативную память. Другая уязвимость, CVE-2021-31956, связана с переполнением буфера кучи в драйвере ntfs.sys. Эксплойт использовал её вместе с механизмом Windows Notification Facility (WNF) для создания примитива произвольного чтения и записи в память.
Помимо эксплойтов в цепочке атаки применяются и другие вредоносные модули. Один из них, стейджер, уведомляет об успешной эксплуатации уязвимости, а также загружает и запускает с удалённого сервера более сложный модуль, дроппер вредоносного ПО. Дроппер используется для установки двух исполняемых файлов, которые притворяются легитимными файлами ОС Microsoft Windows. Один из них представляет собой удалённый шелл, который может загружать и выгружать файлы, создавать процессы, уходить в сон на заданное время и удалять себя со скомпрометированного устройства.