Google’ın Tehdit Analiz Grubu (TAG), Rusya devlet destekli APT29’un (Cozy Bear veya Midnight Blizzard olarak da bilinir) NSO Group ve Intellexa’nın kullandığı gelişmiş casus yazılım tekniklerine benzer şekilde yürüttüğü yeni bir saldırıyı açığa çıkardı.
Google’ın Tehdit Analiz Grubu (TAG), Rus hükümeti destekli APT29 korsanlarının (diğer adıyla Cozy Bear veya Midnight Blizzard), Moğolistan hükümet web sitelerini hedef alan saldırılarda Intellexa ve NSO Group ticari casus yazılım şirketleri tarafından geliştirilenlere çarpıcı biçimde benzeyen istismarları kullandığına dair kanıtlar ortaya koydu.
Kasım 2023 ile Temmuz 2024 arasında gerçekleşen çoklu watering hole saldırıları, cabinet.govmn ve mfa.govmn web sitelerinin ele geçirilmesini ve şüphesiz ziyaretçilere iframe’ler içinde gizlenmiş kötü amaçlı yüklerin iletilmesini içeriyordu. Bu iframe’ler, şüphesiz ziyaretçileri saldırganların kontrolündeki web sitelerine yönlendirdi ve burada istismarlar devreye sokuldu. çerezler de dahil olmak üzere kullanıcı verilerini iOS ve Android cihazlardan çalmak için.
En endişe verici bulgu, APT29 tarafından kullanılan istismarlar ile Intellexa ve NSO Group tarafından daha önce kullanılanlar arasındaki benzerliktir. Bu, APT29’un bu istismarları ticari casus yazılım pazarından edinmiş olabileceğini düşündürmektedir.
Bilginize, NSO Group, akıllı telefonlardan veri izlemek ve çıkarmak için kullanılan tartışmalı Pegasus casus yazılımı da dahil olmak üzere casus yazılımlar geliştirmesiyle tanınan bir İsrail teknoloji şirketidir.
Öte yandan Intellexa, Yunanistan merkezli olduğu bildirilen ve iOS cihazlar için kötü şöhretli Predator casus yazılımı da dahil olmak üzere siber istihbarat ve casus yazılım çözümleri sağlayan bir gözetim teknolojisi şirketidir. Bu çözümler genellikle hükümetlere ve kolluk kuvvetlerine dijital cihazlardan izleme ve veri çıkarma amacıyla pazarlanmaktadır.
“Şüpheli APT29 aktörlerinin bu istismarları nasıl elde ettiğinden emin olmasak da araştırmamız, ilk olarak ticari gözetim endüstrisi tarafından geliştirilen istismarların tehlikeli tehdit aktörlerine ne ölçüde yayıldığını vurgulamaktadır.“ “Mobil alanda eğilim karmaşık tam istismar zincirlerine doğru olsa da, iOS kampanyası tek bir güvenlik açığının zarar verebileceğini ve başarılı olabileceğini gösteren iyi bir hatırlatma.“
Google ETİKETİ
Bilinen Güvenlik Açıklarından Yararlanma:
Bu saldırılarda hedef alınan temel güvenlik açıkları zaten yamalanmış olsa da saldırganlar bunları yamalanmamış cihazları etkileyecek şekilde istismar ettiler. Saldırganların iOS ve Android cihazlarını nasıl hedef aldığına dair bilgiler şöyle:
iOS Saldırıları:
Saldırının ilk aşaması, 16.6.1’den eski sürümleri çalıştıran iPhone’ları etkileyen bir iOS WebKit açığının iletilmesini içeriyordu. Intellexa tarafından daha önce kullanılanla aynı olan bu açık, saldırganların hedef cihazlardan tarayıcı çerezlerini çalmasına olanak sağladı.
iOS saldırılarında APT29 bir güvenlik açığını (CVE-2023-41993) istismar etti. İstismar, Gmail, LinkedIn ve Facebook dahil olmak üzere çeşitli web sitelerinden kimlik doğrulama çerezlerini çalabilen bir çerez hırsızı yükü sağladı.
Android Saldırıları:
Google TAG’ın blog yazısında ayrıntılı olarak açıkladığı üzere, sonraki aşamada saldırganlar odaklarını Android kullanıcılarına çevirdi ve Google Chrome’daki bir dizi güvenlik açığından yararlanarak oturum açma bilgileri, çerezler, parolalar, tarama geçmişi ve kayıtlı kredi kartları gibi hassas verileri çaldılar.
Android saldırıları m121 ila m123 sürümlerini çalıştıran Chrome kullanıcılarını hedef aldı. Saldırganlar, Chrome’un sanal alanından kaçmak için daha önce bilinmeyen iki güvenlik açığını (CVE-2024-5274 ve CVE-2024-4671) zincirledi.
Android saldırıları m121 ila m123 sürümlerini çalıştıran Chrome kullanıcılarını hedef aldı. Saldırganlar daha önce bilinmeyen bir güvenlik açığını (CVE-2024-4671) ve daha önce NSO Group tarafından kullanılan bilinen bir güvenlik açığını (CVE-2024-5274) kullandı.
Google’ın Cevabı:
Google, tehdidi azaltmak için çeşitli adımlar attı: Tespit edilen web sitelerini ve alan adlarını Güvenli Tarama hizmetine ekledi, Apple ve Google Chrome ekiplerini güvenlik açıkları konusunda bilgilendirdi ve tehlikeye atılan web sitelerinin düzeltilmesine yardımcı olması için Moğolistan CERT’i bilgilendirdi.
İLGİLİ KONULAR
- Google, Android, iOS ve Chrome’a yönelik casus yazılım saldırısını açıkladı
- İsrailli iPhone hack casus yazılım firması QuaDream kapanıyor
- Sofistike Pegasus Casus Yazılımının Android Sürümü Keşfedildi
- Bilgisayar Korsanları Clearnet ve Dark Web’de Sahte Pegasus Casus Yazılımı Satıyor
- Apple, iOS ve Android Kullanıcılarına Yönelik Scylla Reklam Dolandırıcılığını Durdurdu Ve Google