Търсене
Close this search box.

Ловците на заплахи в Google твърдят, че са открили доказателства за подкрепяна от руската държава хакерска група, която използва повторно експлойти за iOS и Chrome, използвани преди това от търговците на шпионски софтуер NSO Group и Intellexa.

Според изследователи от групата за анализ на заплахите (TAG) на Google руската APT29 е наблюдавана да използва експлойти с идентични или поразителни прилики с тези, използвани от NSO Group и Intellexa, което предполага потенциално придобиване на инструменти между подкрепяни от държавата хакери и противоречиви доставчици на софтуер за наблюдение.

Руският хакерски екип, известен също като Midnight Blizzard of NOBELIUM, е обвиняван за няколко високопоставени корпоративни хакерски атаки, включително пробив в Microsoft, който включва кражба на изходен код и масиви с имейли на ръководители.

Според изследователите на Google APT29 е използвала множество кампании за експлойти в дивата природа, които са били доставени от атака с водна дупка на монголски правителствени уебсайтове. Кампаниите първо са доставили експлойт за WebKit за iOS, засягащ версии на iOS, по-стари от 16.6.1, а по-късно са използвали верига от експлойти за Chrome срещу потребители на Android с версии от m121 до m123.

„Тези кампании доставиха n-дневни експлойти, за които бяха налични кръпки, но все още щяха да бъдат ефективни срещу неподплатени устройства“, заявиха от Google TAG, като отбелязаха, че във всяка итерация на кампаниите за „watering hole“ нападателите са използвали експлойти, които са били идентични или поразително подобни на експлойти, използвани преди това от NSO Group и Intellexa.

Google публикува техническа документация на кампания за Apple Safari между ноември 2023 г. и февруари 2024 г., която предоставя експлойт за iOS чрез CVE-2023-41993 (поправен от Apple и приписан на Citizen Lab).

„При посещение с устройство iPhone или iPad сайтовете за watering hole използваха iframe, за да сервират разузнавателен полезен товар, който извършваше проверки за валидиране, преди накрая да изтегли и разположи друг полезен товар с експлойт WebKit, за да екфилтрира бисквитките на браузъра от устройството“, заяви Google, като отбеляза, че експлойтът WebKit не е засегнал потребителите, работещи с актуалната по това време версия на iOS (iOS 16.7), или iPhone с активиран режим Lockdown.

Според Google експлойтът от тази водна дупка „е използвал абсолютно същия спусък“ като публично открития експлойт, използван от Intellexa, което силно подсказва, че авторите и/или доставчиците са едни и същи.

„Не знаем как нападателите в последните кампании за пробив са се сдобили с този експлойт“, заявиха от Google.

Google отбеляза, че и двата експлойта споделят една и съща рамка за експлоатация и зареждат същата рамка за кражба на бисквитки, прихваната по-рано, когато подкрепян от руското правителство нападател експлоатира CVE-2021-1879, за да придобие бисквитки за удостоверяване от известни уебсайтове като LinkedIn, Gmail и Facebook.

Изследователите документираха и втора верига от атаки, поразяваща две уязвимости в браузъра Google Chrome. Една от тези уязвимости (CVE-2024-5274) беше открита като „нулев ден“, използван от NSO Group.

В този случай Google откри доказателства, че руската APT е адаптирала експлойта на NSO Group. „Въпреки че имат много сходен спусък, двата експлойта са концептуално различни и приликите са по-малко очевидни, отколкото при експлойта за iOS. Например, експлойтът на NSO поддържаше версии на Chrome от 107 до 124, а експлойтът от Watering hole беше насочен конкретно само към версии 121, 122 и 123“, заявиха от Google.

Вторият бъг във веригата от руски атаки (CVE-2024-4671) също е докладван като експлоатиран нулев ден и съдържа образец на експлойт, подобен на предишно бягство от пясъчника на Chrome, което преди това е било свързано с Intellexa.

„Това, което е ясно, е, че участниците в APT използват експлойти от типа n-day, които първоначално са били използвани като zero-day от търговските доставчици на шпионски софтуер“, заявиха от Google TAG.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
08/10/2024

Как технологията ACR на Sam...

Смарт телевизорите на големи производители като...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!