Google TAG araştırmacıları, şüpheli Rus bilgisayar korsanlarının, ticari gözetim sağlayıcıları tarafından ilk kez kullanılan güvenlik açıklarıyla, hükümet web sitelerini ziyaret eden iPhone ve Android kullanıcılarına saldırdığını paylaştı.
Sulama deliği kampanyaları
Kasım 2023 ile Temmuz 2024 arasında tehdit aktörleri Moğolistan Kabine Sekreterliği’nin web sitelerini tekrar tekrar tehlikeye attılar.dolap.gov[.]dakika) ve ülkenin Dışişleri Bakanlığı (mfa.gov[.]dakika) bir exploit veya exploit zinciri sunan iframe’leri veya JavaScript’i sunmak için.
Tehdit aktörleri, Intellexa’nın CVE-2023-41993 (WebKit) açığını kullanarak 16.6.1 veya daha eski sürümleri çalıştıran iPhone kullanıcılarını hedef aldı ve daha yakın zamanda, NSO Group’un CVE-2024-5274 açığının uyarlanmış bir versiyonunu kullandı; bu sürüm, Intellexa’nın CVE-2021-37973 açığına çok benzeyen, CVE-2024-4671 için bir sanal alan çıkışıyla zincirlendi.
Android/Chrome kullanıcılarını hedef alan saldırı zinciri (Kaynak: Google TAG)
Google TAG tehdit araştırmacıları, “Bu kampanyalar, yamaları mevcut olan n günlük istismarlar sağladı, ancak yama uygulanmamış cihazlara karşı da etkili olmaya devam ediyor” dedi.
Araştırmacılar, “WebKit açığı, o sırada geçerli iOS sürümünü (iOS 16.7) çalıştıran kullanıcıları etkilemedi, yalnızca 16.6.1 veya daha eski iOS sürümlerinde çalışıyordu. Kilitleme modu etkinleştirilmiş kullanıcılar, savunmasız bir iOS sürümü çalıştırırken bile etkilenmedi” diye açıkladı.
Kötü amaçlı iframe’leri yayınladıkları sırada web sitelerini ziyaret eden savunmasız iPhone veya iPad kullanıcıları, Google TAG’ın daha önce 2021’de şüpheli bir APT29 (diğer adıyla Cozy Bear, diğer adıyla Midnight Blizzard) saldırısında kullanıldığını gözlemlediği bir çerez çalma çerçevesiyle karşı karşıya kaldı.
Google Chrome’un 121, 122 ve 123 sürümlerini kullanan Android kullanıcıları da benzer şekilde çerez çalma yüküyle karşı karşıya kaldı.
Kazanan bir yaklaşım
Araştırmacılar saldırganların bu açıkları nasıl elde ettiklerini bilmiyorlar ancak sulama deliklerinin n günlük açıklarla bir nüfusu kitlesel olarak hedeflemek için etkili bir yol olabileceğini söylüyorlar.
Cihazı veya tarayıcısı güvenlik açığı bulunmayan kullanıcılar, ilk keşif yüküyle tespit edildi ve son bilgi çalma yükü kendilerine iletilmedi.