网络安全研究人员发现了多起在野攻击活动，这些活动利用 Apple Safari 和 Google Chrome 浏览器中现已修补的漏洞，用窃取信息的恶意软件感染移动用户。

谷歌威胁分析小组 (TAG) 研究员 Clement Lecigne在与 The Hacker News 分享的一份报告中表示： “这些活动传播了已有补丁的 n 日漏洞，但对于未打补丁的设备仍然有效。”

该活动发生在 2023 年 11 月至 2024 年 7 月之间，值得注意的是，该活动通过对蒙古政府网站 cabinet.gov[.]mn 和 mfa.gov[.]mn 进行水坑攻击来传播漏洞。

有一定把握地认为，该入侵行为是俄罗斯政府支持的代号为APT29（又名午夜暴雪）的威胁行为者所为，并且攻击活动中使用的漏洞与之前与商业监控供应商 (CSV) Intellexa 和 NSO Group 有关的漏洞有相似之处，表明漏洞被重复使用。

此次攻击活动中存在的漏洞如下：

CVE-2023-41993 - WebKit 漏洞，在处理特制的 Web 内容时可能导致任意代码执行（Apple 于 2023 年 9 月在 iOS 16.7 和 Safari 16.6.1 中修复）
CVE-2024-4671 - Chrome Visuals 组件中存在释放后使用漏洞，可能导致任意代码执行（Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 124.0.6367.201/.202 以及适用于 Linux 的版本 124.0.6367.201 中修复）
CVE-2024-5274 - V8 JavaScript 和 WebAssembly 引擎中的类型混淆缺陷，可能导致任意代码执行（Google 于 2024 年 5 月在适用于 Windows 和 macOS 的 Chrome 版本 125.0.6422.112/.113 以及适用于 Linux 的版本 125.0.6422.112 中修复）
据称，2023 年 11 月和 2024 年 2 月的活动涉及对两个蒙古政府网站的攻击——第一个网站和第二个网站唯一的 mfa.gov[.]mn——通过指向行为者控制的域的恶意 iframe 组件来提供 CVE-2023-41993 漏洞利用。

谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。”

该有效载荷是一个 cookie 窃取框架，Google TAG 此前详细介绍了该框架，该框架与2021 年利用iOS 零日漏洞 (CVE-2021-1879) 有关，用于从包括谷歌、微软、领英、Facebook、雅虎、GitHub 和 Apple iCloud 在内的几个热门网站收集身份验证 cookie，并通过 WebSocket 将它们发送到攻击者控制的 IP 地址。

谷歌当时指出：“受害者需要通过 Safari 在这些网站上开启会话才能成功窃取 cookie”，并补充道，“攻击者使用 LinkedIn 消息向西欧国家的政府官员发送恶意链接。”

事实上，Cookie 窃取模块还单独列出了网站“webmail.mfa.gov[.]mn”，这表明蒙古政府雇员可能是此次 iOS 攻击活动的目标。

2024 年 7 月，mfa.gov[.]mn 网站第三次遭到感染，注入了 JavScript 代码，该代码将使用 Chrome 的 Android 用户重定向到恶意链接，该链接结合了漏洞 CVE-2024-5274 和 CVE-2024-4671 的漏洞链，部署了浏览器信息窃取负载。

具体来说，攻击序列使用 CVE-2024-5274 来破坏渲染器，并使用 CVE-2024-4671 来实现沙盒逃逸漏洞，最终使得突破 Chrome站点隔离保护并传播可窃取 cookie、密码、信用卡数据、浏览器历史记录和信任令牌的窃取恶意软件成为可能。

Google TAG 指出：“此活动提供了一个简单的二进制文件，删除所有 Chrome 崩溃报告，并将以下 Chrome 数据库泄露回 track-adv[.]com 服务器 - 类似于早期 iOS 活动中看到的基本最终有效载荷。”

该科技巨头进一步表示，2023 年 11 月的水坑攻击和2023 年 9 月 Intellexa使用的漏洞共享相同的触发代码，2024 年 7 月的水坑攻击和 2024 年 5 月 NSO Group 使用的 CVE-2024-5274 触发器中也观察到了这种模式。

更重要的是，据称 CVE-2024-4671 的漏洞与之前的 Chrome 沙盒逃逸漏洞有相似之处，Intellexa 被发现在野外利用该漏洞与另一个 Chrome 漏洞CVE-2021-37973有关，而谷歌已于 2021 年 9 月解决了该漏洞。

虽然目前尚不清楚攻击者是如何获得这三个漏洞的漏洞利用程序的，但调查结果充分表明，民族国家行为者正在使用最初由 CSV 用作零日漏洞的 n 日漏洞利用程序。

然而，这也提出了一种可能性，即这些漏洞利用程序可能是从漏洞经纪人那里获得的，该经纪人之前将这些漏洞利用程序作为零日漏洞卖给了间谍软件供应商。在苹果和谷歌加强防御措施之际，这些漏洞利用程序的稳定供应使形势得以持续发展。

研究人员表示：“此外，水坑攻击仍是一种威胁，攻击者可以利用复杂的漏洞攻击那些经常访问网站的用户，包括使用移动设备的用户。水坑攻击仍然是大规模 n-day 攻击的有效途径，攻击者可以利用那些可能仍在使用未打补丁的浏览器的人群。”

谷歌已经推出安全修复程序，以解决其 Chrome 浏览器的一个高严重性安全漏洞，该漏洞已被广泛利用。

该漏洞被编号为CVE-2024-7971，被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。

根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述，“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。

微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。

目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息，主要是为了确保大多数用户都得到修复。

然而，这家科技巨头在一份简短的声明中承认，它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是，CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后，该公司今年在 V8 中修复的第三个类型混淆漏洞。

自 2024 年初以来，谷歌已解决了 Chrome 中的 9 个零日漏洞，其中包括在 Pwn2Own 2024 上演示的三个漏洞 -

CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用（在 Pwn2Own 2024 上演示）
CVE-2024-2887 - WebAssembly 中的类型混淆（在 Pwn2Own 2024 上演示）
CVE-2024-3159 - V8 中的越界内存访问（在 Pwn2Own 2024 上演示）
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。

还建议基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时立即应用它们。