[译] APT分析报告:12.APT29利用spy软件供应商创建的IOS、Chrome漏洞

news2024/11/16 1:37:25

这是作者新开的一个专栏,主要翻译国外知名安全厂商的技术报告和安全技术,了解它们的前沿技术,学习它们威胁溯源和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助LLM进行校验和润色,最终结合自己的安全经验完成,还请包涵!

前文介绍了APT组织Sofacy(APT28)中Zebrocy的Dropper文档。这篇文章将详细讲解APT29利用spy软件供应商创建的IOS、Chrome漏洞,并解析其攻击战法,以及CVE-2021-1879、CVE-2023-41993、CVE-2024-5274、CVE-2024-4671漏洞知识。基础性技术文章,希望您喜欢!

  • 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

  • 一.攻击事件分析
    • 攻击时间表
    • Spy软件供应商
  • 二.漏洞知识描述
    • CVE-2021-1879
    • CVE-2023-41993
    • CVE-2024-5274
    • CVE-2024-4671
  • 三.总结

在这里插入图片描述

  • 原文标题:《Russian APT29 hackers use iOS, Chrome exploits created by spyware vendors》
  • 原文链接:https://www.bleepingcomputer.com/news/security/russian-apt29-hackers-use-ios-chrome-exploits-created-by-spyware-vendors/
  • 文章作者:Bill Toulas
  • 发布时间:2024年8月29日
  • 文章来源:https://www.bleepingcomputer.com

一.攻击事件分析

据观察,由俄政府支持的APT29黑客组织在2023年11月至2024年7月期间发动了一系列网络攻击,其使用由商业spy软件供应商开发的iOS和Android漏洞发起。

这一活动是由谷歌的威胁分析小组(TAG,Google’s Threat Analysis Group)发现的,他们指出,尽管这些n-day漏洞已被修补,但在未更新的设备上仍然有效。

APT29又名“Midnight Blizzard”,针对了蒙古多个ZF网站实施攻击,并采用“水坑(watering hole)”战术。

  • 水坑攻击是一种经典的网络攻击方式,攻击者通过在合法网站中植入恶意代码,对符合特定条件(如设备架构或基于IP的地理位置)的访问者投放恶意载荷。

有趣的是,TAG指出,APT29使用的漏洞与商业监控软件供应商如NSO Group和Intellexa使用的漏洞几乎相同,这些供应商在尚未修复的情况下创建并利用了这些漏洞,当时这些漏洞被视为0day漏洞。

攻击时间表

谷歌的威胁分析师指出,APT29 利用0day和nday漏洞的历史由来已久。

2021年,俄网络作战团队利用了0day漏洞CVE-2021-1879,针对东欧的政府官员进行攻击,试图传送一个窃取cookie的框架,该框架能够窃取LinkedIn、Gmail和Facebook账户。

2023年11月,APT29入侵了蒙古的ZF网站 “mfa.gov[.]mn” 和 “cabinet.gov[.]mn”,并植入了一个恶意iframe,用于传递CVE-2023-41993的漏洞攻击。下图展示了来自Google的攻击链。

在这里插入图片描述

这是一个iOS WebKit漏洞,APT29利用它来窃取运行iOS 16.6.1及更早版本iPhone用户的浏览器Cookie。

TAG报告称,这个漏洞利用与Intellexa在2023年9月使用的完全相同,当时利用CVE-2023-41993作为0day漏洞。下图展示了重叠的漏洞利用代码,其中左侧为APT29水坑攻击的漏洞利用代码。

在这里插入图片描述

2024年2月,APT29攻击了蒙古的另一个ZF网站 mga.gov[.]mn,注入了一个新的iframe来传递相同的漏洞利用代码。

2024年7月,APT利用CVE-2024-5274和CVE-2024-4671漏洞,影响Google Chrome,攻击访问 mga.gov[.]mn 的Android用户。谷歌Chrome浏览器的两个漏洞如下图所示:

在这里插入图片描述

目的是窃取存储在受害者Chrome浏览器上的Cookie、密码和其他敏感数据。

CVE-2024-5274漏洞的利用代码是NSO Group在2024年5月0day漏洞利用代码的略微修改版本,CVE-2024-4671的漏洞利用代码与Intellexa以前的漏洞利用代码具有许多相似之处。下图展示了漏洞利用的时间表:

在这里插入图片描述


Spy软件供应商

目前尚不清楚 APT29 黑客如何获得先前只有 NSO Group 和 Intellexa 所知的漏洞利用方法。然而,仅凭有限的信息独立创建自己的漏洞利用代码似乎不太可能。

  • 一种可能的解释包括 APT29 黑客入侵spy软件供应商,招募或贿赂在这些公司工作的内部人员,或通过直接或间接方式保持合作。

  • 另一种可能是他们向之前将这些漏洞作为0day漏洞出售给监控公司的经纪人购买。

无论这些漏洞利用方法如何到达这些具备国家支持的高级威胁组织手中,关键问题在于它们确实被利用了。这使得及时解决公告中标记为“有限范围利用”的0day漏洞变得更加重要——比主流用户可能意识到的要紧迫得多。


二.漏洞知识描述

CVE-2021-1879

CVE-2021-1879漏洞为Apple WebKit跨站脚本漏洞,影响Apple iOS、iPadOS 和watchOS。攻击者可通过构造恶意的Web页面,利用该漏洞发起XSS攻击,从而获取敏感信息、如用户凭证、cookie会话等。WebKit是苹果开发的一个浏览器引擎,它主要为Safari网络浏览器提供动力,其他iOS网络浏览器也依赖于WebKit。此问题已在 iOS 12.5.2、iOS 14.4.2 和 iPadOS 14.4.2、watchOS 7.3.3 中修复。

  • https://nvd.nist.gov/vuln/detail/CVE-2021-1879

在这里插入图片描述

谷歌称,SolarWinds黑客利用该漏洞从西欧政府官员那里窃取了网络安全凭证。SolarWinds黑客了解到并利用了位于浏览器引擎 WebKit 中的 iOS 零日漏洞(跟踪为CVE-2021-1879)来破坏更新的 iPhone,并通过针对全球手机获利。谷歌研究人员 Maddie Stone 和 Clement Lecitne 写道,威胁行为者很可能是俄资助的组织,利用当时未知的iOS 零日漏洞,并怀疑黑客正在为俄外国情报局工作。

在此活动中,攻击者使用 LinkedIn Messaging 向西欧国家的政府官员发送恶意链接,以攻击他们。如果目标从 iOS 设备访问该链接,他们将被重定向到攻击者控制的域,该域为下一阶段的有效负载提供服务。经过多次验证检查以确保被利用的设备是真实设备后,最终有效载荷将用于利用 CVE-2021-1879。

  • 此漏洞会关闭同源策略保护,以便从多个流行网站(包括 Google、Microsoft、LinkedIn、Facebook 和 Yahoo)收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP。受害者需要从 Safari 在这些网站上打开一个会话,才能成功泄露cookie。

CVE-2023-41993

CVE-2021-1879漏洞名称为Apple多款产品WebKit代码执行漏洞,由多伦多大学芒克学院Citizen Lab的Bill Marczak和Google威胁分析小组的Maddie Stone发现。其是一个存在于Webkit中的任意代码执行漏洞(某些Apple操作系统中的内存管理漏洞),攻击者可以通过诱使受害者访问特制的网络内容来触发该漏洞,从而导致任意代码执行。支持包括MacOS 14.0和iOS 16.7之前的 的多个iOS版本受影响。

  • https://nvd.nist.gov/vuln/detail/CVE-2023-41993

在这里插入图片描述

该PoC基于对JavaScriptCore引擎的深入理解,利用了一个新的因素值,用于判断堆内存位置是否相同。由于JSC编译器中的控制流优化,存在一种可能使得两个具有不同偏移量的GetByOffset节点混淆的情况。然而,这种混淆并不能直接导致任意内存地址访问,因为它受限于LICMPhase(Loop Invariant Code Motion Phase)。开发者巧妙地利用了GetterSetter对象来引发类型混淆,从而实现在结构ID上的操纵,最终获得读写权限。

同步发现的3款漏洞分别为:

  • CVE-2023-41991:恶意应用程序能够绕过签名验证
  • CVE-2023-41992:本地攻击者权限提升
  • CVE-2023-41993:处理 Web 内容时导致任意代码执行

CVE-2024-5274

CVE-2024-5274漏洞为Google Chromium V8 类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。在125.0.6422.112之前的Google Chrome V8版本中的类型混淆,允许远程攻击者通过精心设计的HTML页面在沙盒内执行任意代码。

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的沙箱内运行。

  • https://nvd.nist.gov/vuln/detail/CVE-2024-5274
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5274

在这里插入图片描述

2024年5月24日,奇安信CERT监测到Google发布公告称Google Chrome V8类型混淆漏洞(CVE-2024-5274)存在在野利用,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。目前官方已发布安全更新,建议用户尽快升级至最新版本:

  • Google Chrome(Windows/Mac) >= 125.0.6422.112/.113
  • Google Chrome(Linux) >= 125.0.6422.112

CVE-2024-4671

CVE-2024-4671为Google Chromium Visuals释放后重用(Use-After-Free)漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行,该漏洞存在于Google Chrome的Visuals组件中。124.0.6367.201之前的Google Chrome版本中Visuals的Use after free漏洞,允许已入侵渲染器进程的远程攻击者通过精心设计的 HTML 页面执行沙盒逃逸。

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。libvpx是开源的视频编解码器库,可以同时支持VP8和VP9视频编码。

  • https://nvd.nist.gov/vuln/detail/CVE-2024-4671
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4671

在这里插入图片描述

近日,奇安信CERT监测到Google 发布公告称Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或应用程序崩溃。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。影响版本

  • Google Chrome(Windows) < 124.0.6367.201/.202
  • Google Chrome(Mac) < 124.0.6367.201/.202
  • Google Chrome(Linux) < 124.0.6367.201

三.总结

这篇文章详细讲解了APT29利用spy软件供应商创建的IOS、Chrome漏洞,并解析其攻击战法,包括利用CVE-2021-1879、CVE-2023-41993、CVE-2024-5274、CVE-2024-4671漏洞,并解析了这些常用于APT组织的漏洞知识。

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。

在这里插入图片描述
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!

(By:Eastmount 2024-08-31 星期六 夜于贵阳 http://blog.csdn.net/eastmount/ )


参考资料:

  • [1] https://www.bleepingcomputer.com/news/security/russian-apt29-hackers-use-ios-chrome-exploits-created-by-spyware-vendors/
  • [2] https://www.secrss.com/articles/66176
  • [3] https://nvd.nist.gov/vuln
  • [4] https://thehackernews.com/2021/03/apple-issues-urgent-patch-update-for.html?m=1
  • [5] https://www.secrss.com/articles/65992

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2090998.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

秒杀抢券很难吗?oneCoupon带你成为面试中的王牌

秒杀抢券很难吗&#xff1f;oneCoupon带你成为面试中的王牌 如果你在为简历上找不到亮眼的项目发愁&#xff0c;oneCoupon牛券可能就是你的救星。这个系统不仅高性能&#xff0c;还能承受十万次查询和分发请求。本文将带你走进oneCoupon牛券的世界&#xff0c;看看它是如何助力…

【C++】容器vector常用接口详解

目录 一.vector基本介绍 二.vector的构造&#xff08;constructor&#xff09; 三.vector迭代器&#xff08;iterator&#xff09; 四.vector的三种遍历 1.for循环 2.范围for 3.迭代器&#xff08;正向、反向&#xff09; 五. vector扩容操作 1.reserve 2.resize 六.…

自动化邮件发送:结合SMTP协议使用Python发送包含报表或数据附件的邮件

目录 引言 SMTP协议简介 Python中的smtplib模块 基本使用 发送带附件的邮件 自动化邮件发送系统设计 需求分析 系统架构 实现步骤 1. 准备数据源 2. 创建邮件模板 3. 编写邮件发送引擎 4. 设置调度器 5. 异常处理 示例应用&#xff1a;自动化发送报表邮件 总结…

6种有效的时间序列数据特征工程技术(使用Python)

在商业分析中&#xff0c;"时间"是一个核心概念。我们基于时间组件来分析销售数据、收入、利润、增长&#xff0c;甚至进行预测。然而&#xff0c;对于初学者来说&#xff0c;这可能是一个复杂的主题。在处理时间敏感的数据集时&#xff0c;需要考虑时间序列数据的多…

Vue3其他Api

1.shallowRef与shallowReactive <template><div class"app"><h2>求和为:{{ sum }}</h2><h2>名字为:{{ person.name }}</h2><h2>年龄为:{{ person.age }}</h2><button click"sum 1">sum1</butto…

【Docker系列】Docker 日志管理:批量删除策略与实践

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

剪画:自媒体人都是这么保存无字幕视频素材的!

在数字媒体的精彩世界中&#xff0c;视频如璀璨星辰照亮我们的生活。 无论是教育的启迪、娱乐的放松还是信息的传播&#xff0c;视频都担当着关键角色。 但水印&#xff0c;那以文字或图形形式出现在视频中的印记&#xff0c;虽有声明版权之效&#xff0c;却也常给我们带来困扰…

基于web网上十字绣专营店设计与实现

&#xff08;一&#xff09;业务流程分析 没有实现网上销售的十字绣专营店&#xff0c;即店面销售方式&#xff0c;店面需要专人看管&#xff0c;而且销售范围有限&#xff0c;面向的对象很受限制&#xff0c;销售情况需要店主手工记录到账簿&#xff0c;以备利润汇总&#xf…

脚手架工具的应用(前端和后端搭建)

前端 一、安装 Node.js 环境 使用npm下载镜像 查看镜像&#xff1a;npm config get registry 切换淘宝镜像&#xff1a;npm config set registry https://registry.npmmirror.com 还原镜像&#xff1a;npm config set registry https://registry.npmjs.org 二、使用 Vue.js 脚…

BugKu练习记录:ok

题目&#xff1a; 从特征上看是BrainFuck中的Ook加密&#xff0c;直接用工具解

三天速成数学建模国赛国奖全攻略

这里写目录标题 国赛考点&#x1f5d2;️&#x1f5d2;️01 国赛是如何评奖的&#xff1f;02 国赛历年题型和模型算法1&#xff09;国赛赛题特点2&#xff09;历年国赛赛题类型 建模手三天快速提升计划✨✨01 第一天&#xff1a;模型分类及国赛常见模型的用法了解1&#xff09;…

弹窗相关操作

弹窗使用 文章目录 弹窗使用弹窗-新增表单修改弹窗 弹窗-新增表单 拖拽弹出层组件&#xff0c;补充表单信息 2.点击表单&#xff0c;绑定数据库模型&#xff0c;绑定字段 3.新增弹窗按钮绑定打开或关闭弹出层事件 4.弹窗保存按钮依次绑定 保存表单&#xff0c;打开或关闭弹…

技术风暴中的应急策略:开发团队如何应对突发故障与危机

文章目录 每日一句正能量前言快速响应与问题定位策略建立健全的应急预案和备份机制事后总结与持续改进后记 每日一句正能量 在工作上遇到挫折&#xff0c;于是退缩了&#xff0c;说因为难&#xff1b;在生活上遇到困难难&#xff0c;于是抱怨了&#xff0c;说因为苦&#xff1b…

Docker安装Neo4j图数据库和APOC插件

文章目录 一、前言二、安装Neo4j三、测试Neo4j四、安装APOC插件五、测试APOC插件 一、前言 官方文档&#xff1a;https://neo4j.com/docs/operations-manual/current/docker/introduction/ 二、安装Neo4j 我这里以 5.23.0 版的 Neo4j 为例 拉取镜像 docker pull neo4j:5.23.0…

暴搜、深搜、回溯算法题集

文章目录 1. 全排列2. 全排列II3. 子集4. 子集II5. 找出所有子集的异或总和再求和6. 电话号码的字母组合7. 括号生成8. 组合9. 目标和10. 组合总和11. 组合总和II12. 组合总和III13. 字母大小写全排列14. 优美的排列15. N 皇后16. 有效的数独17. 解数独18. 单词搜索19. 黄金矿工…

Docker 的安全优化

目录 1 Docker安全优化思路 1.1 命名空间隔离的安全 1.2 控制组资源控制的安全 1.3 内核能力机制 1.4 Docker服务端防护 1 Docker安全优化思路 Docker容器的安全性&#xff0c;很大程度上依赖于Linux系统自身 评估Docker的安全性时&#xff0c;主要考虑以下几个方面&#xf…

两步解决yum无法安装软件问题:Cannot find a valid baseurl for repo: centos-sclo-rh/x86_64

报错信息&#xff1a; [rootiZwz946ibli8ikuyqgtc58Z ~]# yum install rh-redis5-redis Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile Could not retrieve mirrorlist http://mirrorlist.centos.org?archx86_64&release7&reposclo-rh …

[vue] jszip html-docx-js file-saver 图片,纯文本 ,打包压缩,下载跨域问题

npm install jszip file-saverimport JSZip from jszip; import FileSaver from file-saver;JSZip 创建JSZip实例&#xff1a; const zip new JSZip();创建文件&#xff1a;支持导出纯文本 zip.file("hello.txt", "Hello World\n");创建文件夹&#xf…

Leetcode3239. 最少翻转次数使二进制矩阵回文 I

Every day a Leetcode 题目来源&#xff1a;3239. 最少翻转次数使二进制矩阵回文 I 解法1&#xff1a;分别统计 先计算所有行变成回文最少需要翻转多少次。 也就是对于每一行 row&#xff0c;计算这一行变成回文最少需要翻转多少次。 也就是累加 row[j]!row[n−1−j] 的个…

Windows 11安装 MinGW-w64 教程

MinGW MinGW&#xff0c;全称“Minimalist GNU for Windows”&#xff0c;是一个提供在Windows操作系统上运行的GNU工具集的软件环境。它允许开发者使用GCC&#xff08;GNU Compiler Collection&#xff09;编译器来编译C和C程序&#xff0c;以及其他GNU工具&#xff0c;如GDB调…