Rus APT29 korsanları casus yazılım satıcıları tarafından oluşturulan iOS ve Chrome açıklarını kullanıyor


Rusya

Rusya devlet destekli APT29 hacker grubunun, Kasım 2023 ile Temmuz 2024 arasında gerçekleştirdiği bir dizi siber saldırıda, ticari casus yazılım satıcıları tarafından oluşturulan aynı iOS ve Android açıklarını kullandığı gözlemlendi.

Söz konusu faaliyet, Google’ın Tehdit Analizi Grubu (TAG) tarafından keşfedildi. TAG, n günlük kusurların zaten düzeltildiğini, ancak güncellenmemiş cihazlarda etkili olmaya devam ettiğini söyledi.

“Midnight Blizzard” olarak da bilinen APT29, Moğol hükümetine ait çok sayıda internet sitesini hedef aldı ve “sulama deliği” taktiğini kullandı.

Sulama deliği, ziyaretçilere cihaz mimarisi veya konum (IP tabanlı) gibi belirli kriterleri karşılayan yükler göndermek üzere tasarlanmış kötü amaçlı kodla meşru bir sitenin tehlikeye atıldığı bir siber saldırıdır.

İlginçtir ki, TAG, APT29’un, NSO Group ve Intellexa gibi ticari gözetim yazılımı satıcıları tarafından kullanılanlara neredeyse birebir benzeyen istismarları kullandığını ve bu şirketlerin, hiçbir düzeltme mevcut olmadığında kusurları sıfır gün olarak oluşturup kullandıklarını belirtiyor.

Saldırıların zaman çizelgesi

Google’ın tehdit analistleri, APT29’un sıfırıncı ve n günlük güvenlik açıklarını istismar etme konusunda uzun bir geçmişe sahip olduğunu belirtiyor.

2021 yılında Rus siber suçlular, Doğu Avrupa’daki hükümet yetkililerini hedef alan CVE-2021-1879’u sıfırıncı gün olarak kullanarak LinkedIn, Gmail ve Facebook hesaplarını ele geçiren bir çerez çalma çerçevesi sunmaya çalıştı.

Kasım 2023’te APT29, CVE-2023-41993’e yönelik bir istismar sağlayan kötü amaçlı bir iframe eklemek için Moğolistan hükümet sitelerinin ‘mfa.gov.mn’ ve ‘cabinet.gov.,mn’ adreslerini tehlikeye attı.

Kasım 2023 saldırı zinciri
Kasım 2023 saldırı zinciri
kaynak: Google

Bu, APT29 tarafından iOS 16.6.1 ve daha eski sürümlerini çalıştıran iPhone kullanıcılarının tarayıcı çerezlerini çalmak için kullanılan bir WebKit açığıdır.

TAG, bu istismarın Intellexa’nın Eylül 2023’te kullandığı istismarla aynı olduğunu ve o dönemde sıfır günlük güvenlik açığı olarak CVE-2023-41993’ü kullandığını bildiriyor.

Benzerlikleri kullanın (soldaki APT29)
Exploit kodu örtüşmeleri (soldaki APT29)
kaynak: Google

Şubat 2024’te APT29, aynı açığı sunan yeni bir iframe enjekte etmek için başka bir Moğol hükümet web sitesi olan ‘mga.gov.mn’yi ele geçirdi.

Temmuz 2024’te APT, Google Chrome’u etkileyen CVE-2024-5274 ve CVE-2024-4671 açıklarından yararlanarak ‘mga.gov.mn’ ve ‘adv.com’u ziyaret eden Android kullanıcılarına saldırdı.

Saldırıda iki Google Chrome açığı bir araya getirildi
İki Google Chrome açığını birbirine bağlamak
kaynak: Google

Amaç, kurbanların Chrome tarayıcısında saklanan çerezleri, parolaları ve diğer hassas verileri çalmaktı.

CVE-2024-5274 için kullanılan exploit, NSO Group’un Mayıs 2024’te sıfırıncı gün exploiti için kullandığı exploit’in biraz değiştirilmiş versiyonuyken, CVE-2024-4671 için kullanılan exploit ise Intellexa’nın önceki exploit’leriyle birçok benzerlik taşıyordu.

Temmuz ayındaki sulama deliği saldırısında (sol) ve NSO'nun Mayıs ayındaki saldırısında (sağ) kullanılan tetikleyiciler
Temmuz ayındaki sulama deliği saldırısında (sol) ve NSO’nun Mayıs ayındaki saldırısında (sağ) kullanılan tetikleyiciler
kaynak: Google

Belirsiz bağlantılar

APT29’un bu bilgilere nasıl ulaştığı bilinmiyor ancak kusurların ifşa edilmesinin ardından kamuoyuna açıklanan sınırlı bilgilerle bağımsız olarak kendi istismarlarını geliştirmiş olması pek olası görünmüyor.

Olası açıklamalar arasında APT29’un casus yazılım satıcılarını hacklemesi, bu şirketlerde çalışan dolandırıcı içerideki kişileri işe alması veya rüşvet vermesi veya doğrudan veya bir aracı aracılığıyla bir işbirliğini sürdürmesi yer alabilir. Ancak, bu bireysel senaryolar mantıksız görünüyor.

Bu istismarlar karmaşık devlet destekli tehdit gruplarına nasıl ulaşırsa ulaşsın, asıl mesele bunu başarmalarıdır. Bu, tavsiyelerde ‘sınırlı kapsamda istismar’ olarak etiketlenen sıfırıncı gün zafiyetlerini derhal ele almayı daha da kritik hale getirir; bu, ana akım kullanıcıların fark edebileceğinden çok daha acildir.



Source link