VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện nhiều chiến dịch khai thác thực tế lợi dụng các lỗ hổng đã được vá trong trình duyệt Apple Safari và Google Chrome để lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng thiết bị di động.

Nhà nghiên cứu Clement Lecigne của Google Threat Analysis Group (TAG) cho biết trong báo cáo chia sẻ với The Hacker News: "Những chiến dịch này cung cấp các lỗ hổng khai thác n ngày đã có bản vá nhưng vẫn có hiệu quả đối với các thiết bị chưa được vá".


Hoạt động này được quan sát từ tháng 11 năm 2023 đến tháng 7 năm 2024, đáng chú ý là thực hiện các khai thác thông qua cuộc tấn công watering hole vào các trang web của chính phủ Mông Cổ,   Đăng nhập để xem liên kết[.]mn và   Đăng nhập để xem liên kết[.]mn.

Bộ xâm nhập này được cho là do một nhóm tin tặc do nhà nước Nga hậu thuẫn có tên mã là APT29 (hay còn gọi là Midnight Blizzard) thực hiện với độ tin cậy vừa phải, với sự tương đồng được quan sát thấy giữa các khai thác được sử dụng trong các chiến dịch này và các khai thác trước đây liên quan đến các nhà cung cấp dịch vụ giám sát thương mại (CSV) Intellexa và NSO Group, cho thấy việc tái sử dụng các khai thác.

Các lỗ hổng ở trung tâm của các chiến dịch được liệt kê dưới đây -

• CVE-2023-41993 - Một lỗ hổng WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web được thiết kế đặc biệt (Đã được Apple sửa trong iOS 16.7 và Safari 16.6.1 vào tháng 9 năm 2023)
• CVE-2024-4671 - Một lỗi sử dụng sau khi giải phóng trong thành phần Visuals của Chrome có thể dẫn đến việc thực thi mã tùy ý (Đã được Google sửa trong Chrome phiên bản 124.0.6367.201/.202 cho Windows và macOS, và phiên bản 124.0.6367.201 cho Linux vào tháng 5 năm 2024)
• CVE-2024-5274 - Một lỗi nhầm lẫn kiểu trong công cụ JavaScript và WebAssembly V8 có thể dẫn đến việc thực thi mã tùy ý (Đã được Google khắc phục trong Chrome phiên bản 125.0.6422.112/.113 cho Windows và macOS, và phiên bản 125.0.6422.112 cho Linux vào tháng 5 năm 2024)

Các chiến dịch vào tháng 11 năm 2023 và tháng 2 năm 2024 được cho là liên quan đến việc xâm nhập hai trang web của chính phủ Mông Cổ - cả hai đều là trang web đầu tiên và duy nhất   Đăng nhập để xem liên kết[.]mn ở trang web sau - để cung cấp lỗ hổng CVE-2023-41993 thông qua thành phần iframe độc hại trỏ đến miền do tác nhân kiểm soát.


Google cho biết: "Khi truy cập bằng thiết bị iPhone hoặc iPad, các trang web watering hole sẽ sử dụng iframe để phục vụ cho mục đích do thám, thực hiện kiểm tra xác thực trước khi tải xuống và triển khai một mục đích khác bằng cách khai thác WebKit để đánh cắp cookie của trình duyệt khỏi thiết bị".

Tải trọng là một khuôn khổ đánh cắp cookie mà Google TAG đã nêu chi tiết trước đó liên quan đến vụ khai thác lỗ hổng zero-day trên iOS (CVE-2021-1879) vào năm 2021 để thu thập cookie xác thực từ một số trang web phổ biến, bao gồm Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub và Apple iCloud, rồi gửi chúng qua WebSocket đến địa chỉ IP do kẻ tấn công kiểm soát.

Google lưu ý vào thời điểm đó rằng "Nạn nhân cần phải mở một phiên trên các trang web này từ Safari để có thể trích xuất cookie thành công" và nói thêm rằng "những kẻ tấn công đã sử dụng tin nhắn LinkedIn để nhắm mục tiêu vào các quan chức chính phủ từ các nước Tây Âu bằng cách gửi cho họ các liên kết độc hại".

Thực tế là mô-đun đánh cắp cookie cũng nhắm đến trang web "webmail.mfa.gov[.]mn" cho thấy rằng nhân viên chính phủ Mông Cổ có khả năng là mục tiêu của chiến dịch iOS.

Trang web   Đăng nhập để xem liên kết[.]mn đã bị nhiễm lần thứ ba vào tháng 7 năm 2024 để chèn mã JavScript chuyển hướng người dùng Android đang sử dụng Chrome đến một liên kết độc hại có chứa chuỗi khai thác kết hợp các lỗ hổng CVE-2024-5274 và CVE-2024-4671 để triển khai tải trọng đánh cắp thông tin trình duyệt.


Cụ thể, chuỗi tấn công sử dụng CVE-2024-5274 để xâm nhập trình kết xuất và CVE-2024-4671 để đạt được lỗ hổng thoát khỏi hộp cát, cuối cùng có thể phá vỡ các biện pháp bảo vệ cô lập trang web của Chrome và phát tán phần mềm độc hại đánh cắp.

Google TAG lưu ý rằng: "Chiến dịch này cung cấp một tệp nhị phân đơn giản xóa tất cả báo cáo Chrome Crash và trích xuất các cơ sở dữ liệu Chrome sau đây trở lại máy chủ track-adv[.]com – tương tự như dữ liệu cuối cùng cơ bản được thấy trong các chiến dịch iOS trước đó".

Gã khổng lồ công nghệ này cho biết thêm rằng các lỗ hổng được sử dụng trong cuộc tấn công watering hole vào tháng 11 năm 2023 và của Intellexa vào tháng 9 năm 2023 có cùng mã kích hoạt, một mẫu mã cũng được quan sát thấy trong các lỗ hổng kích hoạt cho CVE-2024-5274 được sử dụng trong cuộc tấn công watering hole vào tháng 7 năm 2024 và của NSO Group vào tháng 5 năm 2024.

Hơn nữa, lỗ hổng CVE-2024-4671 được cho là có điểm tương đồng với lỗ hổng thoát khỏi hộp cát Chrome trước đó mà Intellexa được phát hiện đang sử dụng trong thực tế liên quan đến lỗ hổng Chrome khác là CVE-2021-37973, đã được Google khắc phục vào tháng 9 năm 2021.

Mặc dù hiện tại vẫn chưa rõ kẻ tấn công đã lấy được các khai thác cho ba lỗ hổng này bằng cách nào, nhưng những phát hiện này cho thấy rõ ràng rằng các tác nhân có tổ chức quốc gia đang sử dụng các khai thác n-day vốn ban đầu được CSV sử dụng làm zero-day.

Tuy nhiên, điều này đặt ra khả năng rằng các khai thác này có thể đã được mua từ một nhà môi giới lỗ hổng, người trước đây đã bán chúng cho các nhà cung cấp phần mềm gián điệp dưới dạng lỗ hổng zero-day, nguồn cung cấp ổn định giúp Apple và Google tăng cường phòng thủ.

"Hơn nữa, các cuộc tấn công watering hole vẫn là mối đe dọa, nơi các khai thác tinh vi có thể được sử dụng để nhắm mục tiêu vào những người thường xuyên truy cập trang web, bao gồm cả trên thiết bị di động", các nhà nghiên cứu cho biết. "Watering hole vẫn có thể là một con đường hiệu quả cho các khai thác n-day bằng cách nhắm mục tiêu hàng loạt vào một nhóm dân số vẫn có thể chạy các trình duyệt chưa được vá".