Google’ın Tehdit Analizi Grubu (TAG), Kasım 2023’ten Temmuz 2024’e kadar Moğolistan hükümetinin web sitelerini hedef alan birden fazla istismar kampanyasının keşfedildiğini bildirdi.
Bu kampanyalar, cabinet.gov.mn ve mfa.gov.mn web sitelerini ele geçirerek, şüphelenmeyen ziyaretçilere kötü amaçlı yükler ileten karmaşık sulama deliği saldırılarını içeriyordu.
Kampanyalar başlangıçta 16.6.1’den eski sürümleri etkileyen bir WebKit açığıyla iOS cihazlarını hedef aldı. Daha sonra odaklarını Android kullanıcılarına kaydırdılar ve m121’den m123’e kadar olan sürümlere karşı bir Chrome açığı zinciri uyguladılar.
Her iki istismar da n günlük güvenlik açıklarıydı; yani yamalar mevcuttu ancak tüm cihazlara uygulanmamıştı ve bu da onları saldırılara karşı savunmasız hale getiriyordu.
TAG, bu kampanyaları orta düzeyde güvenle Rus hükümeti destekli bir aktör olan APT29’a bağladı. Kullanılan istismarlar, Intellexa ve NSO Group gibi ticari gözetim satıcıları (CSV’ler) tarafından daha önce kullanılanlara benziyordu.
Kampanya Zaman Çizelgesi
- Kasım 2023: Tehlikeye atılan web siteleri, eski iOS sürümlerini çalıştıran iPhone kullanıcılarına CVE-2023-41993 açığını ileten bir iframe içeriyordu. Bu açık, hedeflenen web sitelerinden çerezleri çalmak için kullanıldı.
- Şubat 2024: Saldırı, aynı iOS açığından faydalanmaya devam ederek güncellenmiş hedef listeleriyle tekrarlandı.
- Temmuz 2024: Android kullanıcılarını hedef alan yeni bir saldırı, Chrome exploit zincirini kullanarak bilgi çalma amaçlı bir yük dağıttı.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Teknik Analiz
iOS saldırısı, WebKit açığını devreye sokmadan önce hedefin cihaz modelini belirlemek için bir keşif yükü kullandı.
iOS açığı, Rus saldırganların LinkedIn, Gmail ve Facebook gibi sitelerden kimlik doğrulama çerezleri elde etmek için CVE-2021-1879’u kullandığı Mart 2021’de gözlemlenen çerez hırsızı çerçevesini yeniden kullandı. Bu kampanyada, LinkedIn Messaging, Batı Avrupa hükümet yetkililerine kötü amaçlı bağlantılar göndermek için kullanıldı.
.webp)
Son zamanlarda gerçekleşen watering hole saldırılarında, 16.6’dan eski iOS sürümleri CVE-2021-1879 ile aynı akışı izledi.
Saldırı, saldırganın kontrol ettiği bir IP’ye bağlı bir web soketi oluşturmayı, hedeflenen etki alanının URL’lerine erişmek için SecurityOrigin sınıfını manipüle etmeyi ve web soketi isteklerini engelleyerek kimlik doğrulama çerezlerini yakalamayı içeriyordu. Modül, Google, LinkedIn ve Facebook gibi belirli web sitelerini hedef aldı.
Daha yeni iOS sürümlerinde, yük, çerezleri toplamak ve çıkarmak için WebCore::NetworkStorageSession::getAllCookies() kullanır.
Chrome kampanyası, kullanıcı verilerini korumak için tasarlanmış bir güvenlik önlemi olan Chrome’un Site İzolasyonu özelliğini aşmak için ek bir sanal alan kaçış açığına ihtiyaç duyuyordu.
Temmuz 2024’ün sonunda mfa.gov’da yeni bir sulama deliği saldırısı tespit edildi[.]mn web sitesi, track-adv’nin bulunduğu yer[.]com alan adı, Android kullanıcılarını hedef alan bir Google Chrome istismar zinciri sunmak için kullanıldı.
iOS saldırısına benzer şekilde, amaç n günlük güvenlik açıklarını kullanarak kimlik bilgisi çerezlerini çalmaktı. Ancak Chrome saldırısı, site izolasyonunu atlatmak için ek bir sandbox kaçışı gerektiriyordu.
Saldırganlar doğrudan bir iframe eklemek yerine, track-adv’ye işaret eden kötü amaçlı bir iframe enjekte etmek için gizlenmiş JavaScript kullandılar[.]com. Statik şifre çözme anahtarları kullanan önceki kampanyaların aksine, kripto anahtarı üretimi için uygun ECDH anahtar değişimini uyguladılar.
Her iki saldırı da istemci tarafı durum bilgilerini depolamak için indexedDB’yi kullandı, veritabanları minus (iOS) ve tracker (Chrome) olarak adlandırıldı. Benzersiz bir tanımlayıcı tutarlı bir şekilde oluşturuldu ve tüm aşamalarda bir parametre olarak geçirildi.
Her iki kampanya da, çeşitli önemli web sitelerinden kimlik doğrulama çerezlerini sızdırmak için 2021 APT29 kampanyasında gözlemlenenlere benzer bir çerez çalma çerçevesi kullandı.
Google, bu kampanyalar hakkında Apple, Android ve Google Chrome ekiplerini ve ayrıca tehlikeye atılan web sitelerini ele almak için Moğolistan Bilgisayar Acil Durum Müdahale Ekibi’ni (CERT) bilgilendirdi. TAG ayrıca kullanıcıları korumak için belirlenen kötü amaçlı etki alanlarını Güvenli Tarama’ya ekledi.
Bu bulgular, watering hole saldırılarının ve başlangıçta ticari gözetim satıcıları tarafından geliştirilen istismarların yeniden kullanılmasının oluşturduğu sürekli tehdidi vurgulamaktadır. TAG, istismarı önlemek için güvenlik yamalarının derhal uygulanmasının önemini vurgulamaktadır ve 0 günlük güvenlik açıklarını tespit etmeye ve azaltmaya kararlıdır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial