«

俄罗斯黑客利用 Safari 和 Chrome 漏洞发动高调网络攻击

时间:2024-8-30 23:07     作者:之参博客     分类: v2ray节点购买地址



网络安全研究人员发现了多起在野攻击活动,这些活动利用 Apple Safari 和 Google Chrome 浏览器中现已修补的漏洞,用窃取信息的恶意软件感染移动用户。

谷歌威胁分析小组 (TAG) 研究员 Clement Lecigne在与 The Hacker News 分享的一份报告中表示: “这些活动传播了已有补丁的 n 日漏洞,但对于未打补丁的设备仍然有效。”

该活动发生在 2023 年 11 月至 2024 年 7 月之间,值得注意的是,该活动通过对蒙古政府网站 cabinet.gov[.]mn 和 mfa.gov[.]mn 进行水坑攻击来传播漏洞。

有一定把握地认为,该入侵行为是俄罗斯政府支持的代号为APT29(又名午夜暴雪)的威胁行为者所为,并且攻击活动中使用的漏洞与之前与商业监控供应商 (CSV) Intellexa 和 NSO Group 有关的漏洞有相似之处,表明漏洞被重复使用。

此次攻击活动中存在的漏洞如下:

CVE-2023-41993 - WebKit 漏洞,在处理特制的 Web 内容时可能导致任意代码执行(Apple 于 2023 年 9 月在 iOS 16.7 和 Safari 16.6.1 中修复)
CVE-2024-4671 - Chrome Visuals 组件中存在释放后使用漏洞,可能导致任意代码执行(Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 124.0.6367.201/.202 以及适用于 Linux 的版本 124.0.6367.201 中修复)
CVE-2024-5274 - V8 JavaScript 和 WebAssembly 引擎中的类型混淆缺陷,可能导致任意代码执行(Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 125.0.6422.112/.113 以及适用于 Linux 的版本 125.0.6422.112 中修复)
据称,2023 年 11 月和 2024 年 2 月的活动涉及对两个蒙古政府网站的攻击——第一个网站和第二个网站唯一的 mfa.gov[.]mn——通过指向行为者控制的域的恶意 iframe 组件来提供 CVE-2023-41993 漏洞利用。

谷歌表示:“当使用 iPhone 或 iPad 设备访问时,水坑攻击网站会使用 iframe 来提供侦察负载,该负载会执行验证检查,最终下载并部署另一个带有 WebKit 漏洞的负载,以从设备中窃取浏览器 cookie。”

该有效载荷是一个 cookie 窃取框架,Google TAG 此前详细介绍了该框架,该框架与2021 年利用iOS 零日漏洞 (CVE-2021-1879) 有关,用于从包括谷歌、微软、领英、Facebook、雅虎、GitHub 和 Apple iCloud 在内的几个热门网站收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP 地址。

谷歌当时指出:“受害者需要通过 Safari 在这些网站上开启会话才能成功窃取 cookie”,并补充道,“攻击者使用 LinkedIn 消息向西欧国家的政府官员发送恶意链接。”

事实上,Cookie 窃取模块还单独列出了网站“webmail.mfa.gov[.]mn”,这表明蒙古政府雇员可能是此次 iOS 攻击活动的目标。

2024 年 7 月,mfa.gov[.]mn 网站第三次遭到感染,注入了 JavScript 代码,该代码将使用 Chrome 的 Android 用户重定向到恶意链接,该链接结合了漏洞 CVE-2024-5274 和 CVE-2024-4671 的漏洞链,部署了浏览器信息窃取负载。


具体来说,攻击序列使用 CVE-2024-5274 来破坏渲染器,并使用 CVE-2024-4671 来实现沙盒逃逸漏洞,最终使得突破 Chrome站点隔离保护并传播可窃取 cookie、密码、信用卡数据、浏览器历史记录和信任令牌的窃取恶意软件成为可能。

Google TAG 指出:“此活动提供了一个简单的二进制文件,删除所有 Chrome 崩溃报告,并将以下 Chrome 数据库泄露回 track-adv[.]com 服务器 - 类似于早期 iOS 活动中看到的基本最终有效载荷。”

该科技巨头进一步表示,2023 年 11 月的水坑攻击和2023 年 9 月 Intellexa使用的漏洞共享相同的触发代码,2024 年 7 月的水坑攻击和 2024 年 5 月 NSO Group 使用的 CVE-2024-5274 触发器中也观察到了这种模式。

更重要的是,据称 CVE-2024-4671 的漏洞与之前的 Chrome 沙盒逃逸漏洞有相似之处,Intellexa 被发现在野外利用该漏洞与另一个 Chrome 漏洞CVE-2021-37973有关,而谷歌已于 2021 年 9 月解决了该漏洞。

虽然目前尚不清楚攻击者是如何获得这三个漏洞的漏洞利用程序的,但调查结果充分表明,民族国家行为者正在使用最初由 CSV 用作零日漏洞的 n 日漏洞利用程序。

然而,这也提出了一种可能性,即这些漏洞利用程序可能是从漏洞经纪人那里获得的,该经纪人之前将这些漏洞利用程序作为零日漏洞卖给了间谍软件供应商。在苹果和谷歌加强防御措施之际,这些漏洞利用程序的稳定供应使形势得以持续发展。

研究人员表示:“此外,水坑攻击仍是一种威胁,攻击者可以利用复杂的漏洞攻击那些经常访问网站的用户,包括使用移动设备的用户。水坑攻击仍然是大规模 n-day 攻击的有效途径,攻击者可以利用那些可能仍在使用未打补丁的浏览器的人群。”

标签: Chrome Safari