谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

admin 2024年8月30日12:58:26评论22 views字数 5130阅读17分6秒阅读模式

导 

Google TAG 发布证据显示,俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似,这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

这支俄罗斯黑客团队,又名午夜暴雪或 NOBELIUM,被指控对多起备受瞩目的公司进行黑客攻击,其中包括对微软的入侵,攻击中窃取了源代码和高管电子邮件数据。

据谷歌研究人员称,APT29 已利用多个在野漏洞攻击活动,这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞,随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。

Google TAG 表示:“这些活动使用了nday漏洞,这些漏洞已有补丁,但对未打补丁的设备仍然有效。”并指出,在水坑活动的每次迭代中,攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。

谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档,该活动通过 CVE-2023-41993(由 Apple 修补并归功于公民实验室)提供了 iOS 漏洞。

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链

谷歌表示:“当使用 iPhone 或 iPad 设备访问时,水坑攻击网站会使用 iframe 来提供侦察负载,该负载会执行验证检查,最终下载并部署另一个带有 WebKit 漏洞的负载,以从设备中窃取浏览器 cookie。”

研究人员指出,WebKit 漏洞不会影响当时运行当前 iOS 版本(iOS 16.7)或启用了锁定模式的 iPhone 的用户。

据谷歌称,该水坑漏洞“使用了完全相同的触发器”,与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”,强烈暗示作者和/或提供商是相同的。

谷歌表示: “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。”

谷歌指出,这两个漏洞利用都共享相同的利用框架,并加载了相同的 cookie 窃取框架,该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。

研究人员还记录了第二条攻击链,该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链

在本案中,谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。“尽管这两个漏洞的触发机制非常相似,但它们的概念却大不相同,相似之处不如 iOS 漏洞那么明显。

例如,NSO 漏洞支持 Chrome 107 至 124 版本,而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

漏洞重用时间表

俄罗斯攻击链中的第二个漏洞(CVE-2024-4671)也被报告为被利用的0day漏洞,并且包含一个漏洞样本,类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。

Google TAG 表示:“很明显,APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”

技术报告:https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/

参考链接:

https://www.securityweek.com/google-catches-russian-apt-re-using-exploits-from-spyware-merchants-nso-group-intellexa/

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

今日安全资讯速递

APT事件

Advanced Persistent Threat

伊朗黑客利用新型 Tickler 恶意软件收集关键基础设施情报

https://www.securityweek.com/iranian-hackers-use-new-tickler-malware-to-collect-intel-from-us-uae/

美国发现伊朗黑客与勒索软件组织密切合作

https://www.securityweek.com/us-sees-iranian-hackers-working-closely-with-ransomware-groups/

韩国相关网络间谍利用 WPS Office 0day漏洞(CVE-2024-7262)

https://www.securityweek.com/wps-office-zero-day-exploited-by-south-korea-linked-cyberspies/

针对越南人权捍卫者的高级持续性威胁

https://www.huntress.com/blog/advanced-persistent-threat-targeting-vietnamese-human-rights-defenders

谷歌发现俄罗斯 APT 黑客重复利用间谍软件开发商 NSO Group 和 Intellexa 的漏洞

https://www.securityweek.com/google-catches-russian-apt-re-using-exploits-from-spyware-merchants-nso-group-intellexa/

一般威胁事件

General Threat Incidents

Dick's Sporting Goods 称网络攻击导致敏感数据泄露

https://www.securityweek.com/dicks-sporting-goods-discloses-cyberattack/

勒索软件团伙泄露据称从微芯片技术公司窃取的数据

https://www.securityweek.com/ransomware-gang-leaks-data-allegedly-stolen-from-microchip-technology/

BlackByte 勒索软件在最新一波攻击中利用 VMware ESXi 漏洞

https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html

针对美国石油和天然气巨头哈里伯顿网络攻击与 RansomHub 勒索软件团伙有关

https://www.bleepingcomputer.com/news/security/halliburton-cyberattack-linked-to-ransomhub-ransomware-gang/

假冒 Palo Alto GlobalProtect 被用来引诱企业实施后门攻击

https://www.bleepingcomputer.com/news/security/fake-palo-alto-globalprotect-used-as-lure-to-backdoor-enterprises/

未修补的 AVTECH IP 摄像头漏洞遭黑客利用,发起僵尸网络攻击

https://thehackernews.com/2024/08/unpatched-avtech-ip-camera-flaw.html

专家称汽车制造商面临日益严峻的数据隐私挑战

https://www.cybersecuritydive.com/news/ftc-data-privacy-connected-cars/725434/

PoorTry Windows 驱动程序进化为功能齐全的 EDR 擦除器

https://www.bleepingcomputer.com/news/security/poortry-windows-driver-evolves-into-a-full-featured-edr-wiper/

新的二维码网络钓鱼活动利用 Microsoft Sway 基础设施窃取凭证

https://thehackernews.com/2024/08/new-qr-code-phishing-campaign-exploits.html

通过恶意 Pidgin 插件 Signal Fork 传播的恶意软件

https://www.securityweek.com/malware-delivered-via-malicious-pidgin-plugin-signal-fork/

Young Consulting 遭受 BlackSuit 勒索软件攻击,超过 95 万人的个人信息遭到泄露

https://www.securityweek.com/950000-impacted-by-young-consulting-data-breach/

“Play”勒索软件组织声称已侵入Microchip并窃取机密数据

https://www.pcmag.com/news/play-ransomware-group-claims-it-breached-microchip-stole-secret-data

BlackByte 勒索软件在最新一波攻击中利用 VMware ESXi 漏洞

https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html

新泽西州一名员工因勒索 Windows 管理员将 254 台服务器锁定而被捕

https://www.bleepingcomputer.com/news/security/employee-arrested-for-locking-windows-admins-out-of-254-servers-in-extortion-plot/

漏洞事件

Vulnerability Incidents

Beckhoff TwinCAT/BSD 漏洞导致 PLC 遭受篡改和 DoS 攻击

https://www.securityweek.com/beckhoff-twincat-bsd-vulnerabilities-expose-plcs-to-tampering-dos-attacks/

Fortra 发布针对高风险 FileCatalyst 工作流安全漏洞的补丁

https://thehackernews.com/2024/08/fortra-issues-patch-for-high-risk.html

思科修复了 NX-OS 软件中的一个高严重性漏洞

https://securityaffairs.com/167785/security/cisco-high-severity-flaw-nx-os.html

顶级旅游网站存在一些严重的安全问题需要解决

https://www.darkreading.com/threat-intelligence/top-travel-sites-have-some-first-class-security-issues-to-clean-up

Apache OFBiz 的第二个漏洞被利用进行攻击

https://securityweek.com/second-apache-ofbiz-vulnerability-exploited-in-attacks/

WPML 插件严重漏洞(CVE-2024-6386,CVSS 评分:9.9)导致 WordPress 网站遭受远程代码执行

https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html

美国 CISA 将 Google Chromium V8 漏洞添加到其已知利用漏洞目录中

https://securityaffairs.com/167722/security/u-s-cisa-adds-google-chromium-v8-bug-known-exploited-vulnerabilities-catalog.html

日立能源漏洞困扰 SCADA 电力系统

https://www.darkreading.com/ics-ot-security/hitachi-energy-vulnerabilities-plague-scada-power-systems

谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月30日12:58:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌发现俄罗斯 APT 黑客复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞https://cn-sec.com/archives/3112117.html

发表评论

匿名网友 填写信息