خانه » سوء استفاده گروه APT29 از اکسپلویت‌ های تامین کنندگان نرم افزارهای جاسوسی تجاری

سوء استفاده گروه APT29 از اکسپلویت‌ های تامین کنندگان نرم افزارهای جاسوسی تجاری

توسط Vulnerbyte
52 بازدید
گروه APT29 - اکسپلویت‌ - جاسوس افزار

APT29، یک گروه هک روسی زبان است که با نام‌های Midnight Blizzard و Cozy Bear نیز شناخته می‌شود و اخیرا در استفاده از اکسپلویت‎‌هایی برای سیستم عامل‌های iOS و اندروید مشاهده شده است. این اکسپلویت‌ها پیش‌تر نیز توسط سازندگان نرم افزارهای جاسوسی تجاری مانند Intellexa و NSO Group استفاده شده است.

به گفته کارشناسان گروه تحلیل تهدیدات گوگل (TAG)، این اکسپلویت‌ها در یک سری حملات در بازه زمانی از نوامبر 2023 تا جولای 2024 مورد استفاده قرار گرفته‌اند که طی آن APT29 توسط حمله watering hole  به چندین وب سایت دولتی مغولستان نفوذ کرده است.

شواهد حاکی از آن است که هکرها، کدهای مخرب را به سایت‌های قانونی تزریق می‌کنند و درست در جایی منتظر قربانیانی با معیارهای خاص مانند معماری یا مکان خاص دستگاه (براساس آدرس IP) می‌مانند.

برخی اکسپلویت‌هایی که قبلا توسط گروه NSO  و Intellexa استفاده شده بودند دارای آسیب پذیری‌های روز صفری هستند که تاکنون هیچگونه پچی برای آن‌ها ارائه نشده است.

گروه APT29 در نوامبر 2023، دو وب سایت دولتی مغولستان به آدرس‌های cabinet.gov[.]mn و mfa.gov[.]mn را هک کرد و یک iframe مخرب را به کد آن‌ها تزریق نمود که یک اکسپلویت برای آسیب پذیری CVE-2023-41993 را ارائه می‌کرد.

هکرها از این باگ در WebKit سیستم عامل iOS  به منظور ربودن کوکی‌های کاربران آیفون دارای iOS 16.6.1 و بالاتر استفاده می‌کنند.

حمله نوامبر ۲۰۲۳ گروه APT29
حمله نوامبر ۲۰۲۳

این اکسپلویت دقیقا مشابه به اکسپلویت Intellexa می‌باشد که در سپتامبر 2023 استفاده شده است. در آن زمان، باگ CVE-2023-41993، هنوز یک آسیب پذیری روز صفر به شمار می‌آمد.

مقایسه اکسپلویت‌های Intellexa و NSO
مقایسه اکسپلویت‌ها

گروه APT29 در فوریه 2024، یک وب سایت دولتی دیگر مغولستان (mga.gov[.]mn) را هک کرد و یک iframe با همان اکسپلویت که کاربران آیفون را مورد هدف قرار داده بود به کد آن تزریق کرد.

جالب است که این گروه در جولای 2024 از اکسپلویت‌های آسیب پذیری‌های CVE-2024-5274  و  CVE-2024-4671 که مرورگر گوگل کروم را تحت تاثیر قرار می‌دادند برای حمله به کاربران اندرویدی که از وب سایت mga.gov[.]mn بازدید می‌کردند، استفاده کرده است.

هدف از این حمله سرقت کوکی‌ها، رمزهای عبور و سایر داده‌های حساس ذخیره شده در مرورگرهای قربانیان بود.

گروه APT29 - اکسپلویت‌ - جاسوس افزار
حمله به آسیب پذیری‌های مرورگر گوگل کروم

اکسپلویت CVE-2024-5274، یک نسخه اندک تغییر یافته اکسپلویت گروه NSO می‌باشد که در می 2024 مورد استفاده قرار گرفت. اکسپلویت CVE-2024-4671 نیز شباهت زیادی به اکسپلویت‌های قبلی Intellexa داشت.

محققان هنوز نمی‌دانند که گروه APT29 چگونه به این اکسپلویت‌هایی که قبلا فقط توسط گروه NSO  و  Intellexa استفاده شده بودند، دست یافته است.

محققان گوگل (TAG) هشدار داده‌اند که گروه  APT29ممکن است تامین کنندگان جاسوس افزارهای تجاری را هک کرده باشد و کارمندان آن‌ها را استخدام و یا به آن‌ها رشوه داده باشد و به سادگی با شرکت‌ها به طور مستقیم یا از طریق واسطه‌ها همکاری کند.

یک گمان زنی دیگر نیز وجود دارد، اینکه ممکن است این اکسپلویت‌ها از یک کارگزار آسیب پذیری خریداری شده باشند، همانطور که قبلا به عنوان اکسپلویت روز صفر به گروه NSO  و  Intellexa فروخته شده‌اند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید