Спонсорована державою російська хакерська група APT29 була помічена за використанням тих самих експлойтів для iOS та Android, які були створені комерційними постачальниками шпигунського програмного забезпечення під час серії кібератак у період із листопада 2023 року до липня 2024 року. Про це повідомляє BleepingComputer.
Активність виявила група аналізу загроз (Threat Analysis Group, TAG) компанії Google. Фахівці заявили, що недоліки n-днів вже виправлено, але вони залишаються ефективними на пристроях, які не оновлювалися.
Хакерська група APT29, також відома як Midnight Blizzard, була націлена на численні вебсайти монгольського уряду.
Легітимний сайт компрометується за допомогою шкідливого коду, призначеного для доставки корисних даних відвідувачам, які відповідають певним критеріям. Наприклад, архітектурі пристрою чи місцезнаходження (на основі IP).
Фахівці TAG зазначили, що група APT29 використовувала експлойти, які були майже ідентичні тим, що використовували комерційні постачальники програмного забезпечення для відеоспостереження. Зокрема це NSO Group та Intellexa.
Аналітики Google нагадали, що APT29 має довгу історію використання вразливостей нульового та n-денного періодів.
Так, у 2021 році російські кібероператори використали CVE-2021-1879 як нульовий день, націлившись на урядовців у Східній Європі. Вони намагалися створити структуру для крадіжки файлів cookie, яка викрадала облікові записи LinkedIn, Gmail і Facebook.
У листопаді 2023 року APT29 скомпрометувала урядові сайти Монголії mfa.gov[.]mn і cabinet.gov[.]mn, щоб додати зловмисний iframe, який створив експлойт для CVE-2023-41993.
Це недолік iOS WebKit, який група APT29 використовувала для крадіжки файлів cookie браузера у користувачів iPhone з iOS 16.6.1 і старіших версій.
У TAG повідомили, що цей експлойт був точно таким же, як той, який Intellexa використовувала у вересні 2023 року, використовуючи CVE-2023-41993 як вразливість нульового дня на той час.
У лютому 2024 року хакери APT29 скомпрометували інший вебсайт монгольського уряду mga.gov[.]mn, щоб додати новий фрейм iframe із тим самим експлойтом.
У липні 2024 року група використала експлойти для CVE-2024-5274 та CVE-2024-4671. Вони впливають на Google Chrome, щоб атакувати користувачів Android, які відвідують вебсайт mga.gov[.]mn.
Метою було викрасти файли cookie, паролі та інші конфіденційні дані, що зберігаються у браузері Chrome жертв.
Експлойт, який використовувався для CVE-2024-5274, є дещо модифікованою версією групи NSO. Вона використовувалася для експлуатації нульового дня у травні 2024 року, тоді як експлойт для CVE-2024-4671 мав багато схожості із попередніми експлойтами Intellexa.
Раніше ми повідомляли, що патч Microsoft за липень 2024 року усуває 142 недоліки, зокрема 4 zero-days.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
