谷歌称商业间谍软件供应商的漏洞被克里姆林宫支持的黑客利用
长期以来,间谍软件和漏洞卖家的批评者警告称,由商业监控供应商(CSVs)销售的高级黑客技术代表着全球性的危险,因为这些技术不可避免地会落入恶意方的手中,即使CSV承诺它们仅用于针对已知的犯罪分子。
周四,谷歌分析师在发现克里姆林宫间谍使用的漏洞“与间谍软件制造商Intellexa和NSO集团销售的漏洞相同或极其相似”之后,提出了证据支持这一批评。
这个黑客组织被追踪到包括APT29、Cozy Bear和Midnight Blizzard等名字,被广泛评估为代表俄罗斯的对外情报局(SVR)工作。谷歌威胁分析组(TAG)的研究人员周四表示,他们观察到APT29使用的漏洞与以色列的NSO集团和爱尔兰的Intellexa公司首先使用的漏洞完全相同或非常相似。
在这两种情况下,商业监控供应商的漏洞首先作为零日漏洞使用,这意味着在漏洞尚未公开且没有可用补丁的情况下使用。相同或极其相似 一旦这些漏洞的补丁可用,TAG表示,APT29就在所谓的“诱捕攻击”中利用这些漏洞,这种攻击通过在目标经常访问的网站上暗中植入漏洞代码来感染目标。
TAG表示,APT29利用这些漏洞作为n日漏洞,这些漏洞是指已经修复但用户尚未广泛安装的漏洞。“在每个诱捕攻击的迭代中,攻击者使用的漏洞都与来自CSV的漏洞,Intellexa和NSO集团的漏洞相同或极其相似,”TAG的Clement Lecigne写道。“我们不知道攻击者是如何获得这些漏洞的。可以确定的是,APT行动者正在利用最初由CSV作为零日漏洞使用的n日漏洞。”
在一个案例中,Lecigne说,TAG观察到APT29攻陷了蒙古政府网站mfa.gov[.]mn和cabinet.gov[.]mn,并植入了一个加载代码的链接,该代码利用了WebKit浏览器引擎中的一个关键漏洞CVE-2023-41993。俄罗斯特工在11月份将该漏洞加载到这些网站上,以窃取目标在线账户的浏览器Cookie。谷歌分析师表示,APT29的漏洞利用“使用了与Intellexa在2023年9月使用的漏洞完全相同的触发器”,当时CVE-2023-41993尚未修复。
Lucigne提供了以下图像,展示了每次攻击中使用的代码的并排比较。
APT29在今年2月再次在蒙古政府网站mga.gov[.]mn的诱捕攻击中使用了相同的漏洞。
在2024年7月,APT29在mga.gov[.]me上植入了一个新的Cookie窃取攻击。它利用了Google Chrome中的两个n日漏洞CVE-2024-5274和CVE-2024-4671。Lucigne表示,APT29的CVE-2024-5274漏洞利用是NSO集团在2024年5月仍作为零日漏洞使用时的略微修改版本。
而CVE-2024-4671的漏洞利用则包含了许多与Intellexa之前用于规避Chrome沙箱保护的CVE-2021-37973漏洞类似的部分。
攻击时间线如下所示:
如前所述,目前尚不清楚APT29如何获得这些漏洞。
可能性包括:CSV内部的恶意人员或与CSV合作的中间商,通过黑客攻击窃取代码,或直接购买。
两家公司都通过承诺仅向被认为具有良好国际声誉的国家政府销售漏洞来捍卫其业务。TAG发现的证据表明,尽管有这些保证,这些漏洞最终还是落入了政府支持的黑客组织手中。
“虽然我们不确定怀疑的APT29行动者是如何获得这些漏洞的,但我们的研究强调了商业监控行业首先开发的漏洞扩散到危险威胁行动者的程度,”Lucigne写道。
展开全文
长期以来,间谍软件和漏洞卖家的批评者警告称,由商业监控供应商(CSVs)销售的高级黑客技术代表着全球性的危险,因为这些技术不可避免地会落入恶意方的手中,即使CSV承诺它们仅用于针对已知的犯罪分子。
周四,谷歌分析师在发现克里姆林宫间谍使用的漏洞“与间谍软件制造商Intellexa和NSO集团销售的漏洞相同或极其相似”之后,提出了证据支持这一批评。
这个黑客组织被追踪到包括APT29、Cozy Bear和Midnight Blizzard等名字,被广泛评估为代表俄罗斯的对外情报局(SVR)工作。谷歌威胁分析组(TAG)的研究人员周四表示,他们观察到APT29使用的漏洞与以色列的NSO集团和爱尔兰的Intellexa公司首先使用的漏洞完全相同或非常相似。
在这两种情况下,商业监控供应商的漏洞首先作为零日漏洞使用,这意味着在漏洞尚未公开且没有可用补丁的情况下使用。相同或极其相似 一旦这些漏洞的补丁可用,TAG表示,APT29就在所谓的“诱捕攻击”中利用这些漏洞,这种攻击通过在目标经常访问的网站上暗中植入漏洞代码来感染目标。
TAG表示,APT29利用这些漏洞作为n日漏洞,这些漏洞是指已经修复但用户尚未广泛安装的漏洞。“在每个诱捕攻击的迭代中,攻击者使用的漏洞都与来自CSV的漏洞,Intellexa和NSO集团的漏洞相同或极其相似,”TAG的Clement Lecigne写道。“我们不知道攻击者是如何获得这些漏洞的。可以确定的是,APT行动者正在利用最初由CSV作为零日漏洞使用的n日漏洞。”
在一个案例中,Lecigne说,TAG观察到APT29攻陷了蒙古政府网站mfa.gov[.]mn和cabinet.gov[.]mn,并植入了一个加载代码的链接,该代码利用了WebKit浏览器引擎中的一个关键漏洞CVE-2023-41993。俄罗斯特工在11月份将该漏洞加载到这些网站上,以窃取目标在线账户的浏览器Cookie。谷歌分析师表示,APT29的漏洞利用“使用了与Intellexa在2023年9月使用的漏洞完全相同的触发器”,当时CVE-2023-41993尚未修复。
Lucigne提供了以下图像,展示了每次攻击中使用的代码的并排比较。
APT29在今年2月再次在蒙古政府网站mga.gov[.]mn的诱捕攻击中使用了相同的漏洞。
在2024年7月,APT29在mga.gov[.]me上植入了一个新的Cookie窃取攻击。它利用了Google Chrome中的两个n日漏洞CVE-2024-5274和CVE-2024-4671。Lucigne表示,APT29的CVE-2024-5274漏洞利用是NSO集团在2024年5月仍作为零日漏洞使用时的略微修改版本。
而CVE-2024-4671的漏洞利用则包含了许多与Intellexa之前用于规避Chrome沙箱保护的CVE-2021-37973漏洞类似的部分。
攻击时间线如下所示:
如前所述,目前尚不清楚APT29如何获得这些漏洞。
可能性包括:CSV内部的恶意人员或与CSV合作的中间商,通过黑客攻击窃取代码,或直接购买。
两家公司都通过承诺仅向被认为具有良好国际声誉的国家政府销售漏洞来捍卫其业务。TAG发现的证据表明,尽管有这些保证,这些漏洞最终还是落入了政府支持的黑客组织手中。
“虽然我们不确定怀疑的APT29行动者是如何获得这些漏洞的,但我们的研究强调了商业监控行业首先开发的漏洞扩散到危险威胁行动者的程度,”Lucigne写道。
评论