Googleova grupa za analizu prijetnji (TAG) izvijestila je o otkriću višestrukih eksploatacijskih kampanja usmjerenih na web stranice mongolske vlade, u periodu od novembra 2023. do jula 2024. godine.
Ove kampanje su uključivale sofisticirane napade na zalijevanje, koji su narušavali web stranice cabinet.gov.mn i mfa.gov.mn da isporuče zlonamjerne podatke posjetiteljima koji ništa ne sumnjaju.
Kampanje su prvobitno ciljale iOS uređaje s eksploatacijom WebKit-a koja je uticala na verzije starije od 16.6.1. Kasnije su fokus prebacili na korisnike Androida, postavljajući Chrome eksploatacijski lanac protiv verzija m121 do m123.
Oba exploita su bila ranjivost n dana, što znači da su zakrpe bile dostupne, ali nisu primijenjene na sve uređaje, što ih čini podložnim napadima.
TAG je ove kampanje sa umjerenim povjerenjem pripisao APT29, glumcu kojeg podržava ruska vlada. Korišćeni eksploati bili su slični onima koje su ranije koristili dobavljači komercijalnog nadzora (CSV) kao što su Intellexa i NSO Group.
Vremenska linija kampanje
- Novembar 2023: Narušene web stranice uključivale su iframe koji je isporučio CVE-2023-41993 exploit korisnicima iPhonea koji koriste starije verzije iOS-a. Ovaj exploit je korišten za krađu kolačića sa ciljanih web stranica.
- Februar 2024: Napad je ponovljen sa ažuriranim listama ciljeva, nastavljajući da iskorištava istu ranjivost iOS-a.
- Jul 2024: Novi napad cilja na korisnike Androida, koristeći lanac eksploatacije Chromea za implementaciju korisnog opterećenja za krađu informacija.
Tehnička analiza
iOS kampanja je koristila izviđački teret za identifikaciju modela uređaja cilja prije implementacije WebKit eksploatacije.
Iskorištavanje iOS-a ponovo je koristilo okvir za krađu kolačića koji je primijećen u martu 2021. godine, gdje su ruski napadači iskoristili CVE-2021-1879 da bi dobili autentifikacijske kolačiće sa web lokacija kao što su LinkedIn, Gmail i Facebook. U toj kampanji, LinkedIn Messaging je korišten za slanje zlonamjernih linkova vladinim službenicima zapadne Evrope.
.webp)
U nedavnim napadima na zalijevanje, iOS verzije starije od 16.6 pratile su isti tok kao CVE-2021-1879.
Napad je uključivao kreiranje websocketa povezanog s IP-om koji kontrolira napadač, manipulaciju klasom SecurityOrigin za pristup URL-ovima ciljane domene i hvatanje kolačića za autentifikaciju presretanja zahtjeva websocketa. Modul je ciljao određene web stranice kao što su Google, LinkedIn i Facebook.
Na novijim verzijama iOS-a, korisni teret koristi WebCore::NetworkStorageSession::getAllCookies() za prikupljanje i eksfiltriranje kolačića.
Chrome kampanja zahtijevala je dodatnu ranjivost za izbjegavanje sandbox-a kako bi se zaobišla Chrome-ova funkcija izolacije web-lokacije, sigurnosna mjera dizajnirana da zaštiti korisničke podatke.
Krajem jula 2024. godine otkriven je novi napad na mfa.gov[.]mn, gdje je domena track-adv[.]com korištena za isporuku lanca eksploatacije Google Chromea koji cilja na korisnike Androida.
Slično kao kod iOS napada, cilj je bio da se ukradu kolačići vjerodajnica koristeći ranjivosti n dana. Međutim, Chrome napad je zahtijevao dodatni izlaz iz sandboxa kako bi se zaobišla izolacija web lokacije.
Umjesto direktnog dodavanja iframe-a, napadači su koristili zamagljeni JavaScript da ubrizgaju zlonamjerni iframe koji upućuje na track-adv[.]com. Za razliku od prethodnih kampanja koje su koristile statičke ključeve za dešifrovanje, implementirali su odgovarajuću razmjenu ECDH ključeva za generisanje kripto ključeva.
Oba napada koristila su indexedDB za skladištenje informacija o statusu na strani klijenta, sa bazama podataka nazvanim minus (iOS) i tracker (Chrome). Jedinstveni identifikator je dosljedno generisan i proslijeđen kao parametar kroz sve faze.
Obje su kampanje koristile okvir za krađu kolačića, sličan onom koji je primijećen u kampanji APT29 iz 2021. , kako bi se eksfiltrirali autentifikacijski kolačići s različitih istaknutih web stranica.
Google je obavijestio Apple, Android i Google Chrome timove o ovim kampanjama, kao i mongolski tim za hitne slučajeve (CERT) za rješavanje ugroženih web stranica. TAG je također dodao identificirane zlonamjerne domene u Sigurno pregledavanje kako bi zaštitio korisnike.
Ovi nalazi naglašavaju stalnu prijetnju koju predstavljaju napadi na zalijevanje i ponovna upotreba eksploatacija koje su prvobitno razvili dobavljači komercijalnog nadzora. TAG naglašava važnost promptne primjene sigurnosnih zakrpa kako bi se spriječila eksploatacija i ostaje posvećen otkrivanju i ublažavanju ranjivosti od 0 dana.
Izvor: CyberSecurityNews