强大的间谍软件漏洞引发新一轮“水坑”攻击

原创 网络研究观 网络研究观 2024-09-03 20:00

近年来，Intellexa 和 NSO Group 等精英商业间谍软件供应商开发了一系列强大的黑客工具，利用罕见且未打补丁的“零日”软件漏洞来入侵受害者设备。

而且，
世界各国
政府越来越多地成为这些工具的
主要客户
，入侵反对派领导人、记者、活动家、律师等的智能手机。

不过，周四，谷歌威胁分析小组公布了一系列近期黑客活动的
调查结果，
似乎是由俄罗斯臭名昭著的 APT 29 Cozy Bear 团伙实施的。

这些活动将与 Intellexa 和 NSO Group 开发的漏洞非常相似的漏洞融入正在进行的间谍活动中。

2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链

2023 年 11 月至 2024 年 7 月期间，攻击者入侵了蒙古政府网站，并利用该访问权限进行
“水坑”攻击
，任何使用易受攻击的设备访问受感染网站的人都会受到黑客攻击。

攻击者设置了恶意基础设施，以使用“与商业监控供应商 Intellexa 和 NSO Group 之前使用的漏洞相同或极其相似的漏洞”。

研究人员表示，他们“有一定把握地评估”这些活动是由 APT 29 进行的。

这些类似间谍软件的黑客工具利用了苹果 iOS 和谷歌安卓系统中大部分已修补的漏洞。

最初，这些工具被间谍软件供应商作为未修补的零日漏洞使用；但这次，疑似俄罗斯黑客利用这些工具攻击未安装补丁的设备。

虽然我们不确定 APT29 嫌疑人是如何获得这些漏洞的，但我们的研究强调了商业监控行业最初开发的漏洞在多大程度上扩散到了危险的威胁行为者手中。

此外，水坑攻击仍然是一种威胁，复杂的漏洞可以用来针对那些经常访问网站的人，包括使用移动设备的人。

水坑攻击仍然是一个有效的途径……大规模针对那些可能仍在运行未打补丁的浏览器的人群。

黑客可能购买并改编了间谍软件漏洞，或者窃取了这些漏洞，或者通过泄露获得了这些漏洞。

2023 年 11 月的水坑攻击（左图）和 2023 年 9 月 Intellexa 使用的漏洞（右图）共享相同的触发代码。

黑客还可能受到商业漏洞的启发，通过检查受感染的受害者设备对其进行逆向工程。

2023 年 11 月至 2024 年 2 月期间，黑客使用了 iOS 和 Safari 漏洞，该漏洞在技术上与 Intellexa 几个月前于 2023 年 9 月首次推出的未修补零日漏洞完全相同。

2024 年 7 月，黑客还使用了改编自 NSO Group 工具的 Chrome 漏洞，该工具于 2024 年 5 月首次出现。

2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链。

后一种黑客工具与一个漏洞结合使用，该漏洞与 Intellexa 于 2021 年 9 月首次推出的漏洞非常相似。

当攻击者利用已修补的漏洞时，这种活动被称为“n 日利用”，因为漏洞仍然存在，并且随着时间的推移，可能会在未修补的设备中被滥用。

疑似俄罗斯黑客整合了商业间谍软件相关工具，但其整体活动（包括恶意软件交付和受感染设备上的活动）的构建方式与典型的商业间谍软件客户不同。

这表明，一个成熟且资源丰富的国家支持的黑客组织具有一定的熟练程度和技术熟练程度。

在水坑攻击活动的每次迭代中，攻击者使用的漏洞与 [商业监控供应商] Intellexa 和 NSO Group 的漏洞相同或极其相似。

我们不知道攻击者是如何获得这些漏洞的。很明显，APT 参与者正在使用最初被 CSV 用作 0-day 的 n-day 漏洞。

更多信息访问以下链接获取：

受政府支持的攻击者和商业监控供应商反复使用相同的漏洞

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/