[译] APT分析报告:12.APT29利用spy软件供应商创建的IOS、Chrome漏洞

这是作者新开的一个专栏,主要翻译国外知名安全厂商的技术报告和安全技术,了解它们的前沿技术,学习它们威胁溯源和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助LLM进行校验和润色,最终结合自己的安全经验完成,还请包涵!

前文介绍了APT组织Sofacy(APT28)中Zebrocy的Dropper文档。这篇文章将详细讲解APT29利用spy软件供应商创建的IOS、Chrome漏洞,并解析其攻击战法,以及CVE-2021-1879、CVE-2023-41993、CVE-2024-5274、CVE-2024-4671漏洞知识。基础性技术文章,希望您喜欢!

  • 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

  • 一.攻击事件分析
    • 攻击时间表
    • Spy软件供应商
  • 二.漏洞知识描述
    • CVE-2021-1879
    • CVE-2023-41993
    • CVE-2024-5274
    • CVE-2024-4671
  • 三.总结

在这里插入图片描述

  • 原文标题:《Russian APT29 hackers use iOS, Chrome exploits created by spyware vendors》
  • 原文链接:https://www.bleepingcomputer.com/news/security/russian-apt29-hackers-use-ios-chrome-exploits-created-by-spyware-vendors/
  • 文章作者:Bill Toulas
  • 发布时间:2024年8月29日
  • 文章来源:https://www.bleepingcomputer.com

一.攻击事件分析

据观察,由俄政府支持的APT29黑客组织在2023年11月至2024年7月期间发动了一系列网络攻击,其使用由商业spy软件供应商开发的iOS和Android漏洞发起。

这一活动是由谷歌的威胁分析小组(TAG,Google’s Threat Analysis Group)发现的,他们指出,尽管这些n-day漏洞已被修补,但在未更新的设备上仍然有效。

APT29又名“Midnight Blizzard”,针对了蒙古多个ZF网站实施攻击,并采用“水坑(watering hole)”战术。

  • 水坑攻击是一种经典的网络攻击方式,攻击者通过在合法网站中植入恶意代码,对符合特定条件(如设备架构或基于IP的地理位置)的访问者投放恶意载荷。

有趣的是,TAG指出,APT29使用的漏洞与商业监控软件供应商如NSO Group和Intellexa使用的漏洞几乎相同,这些供应商在尚未修复的情况下创建并利用了这些漏洞,当时这些漏洞被视为0day漏洞。

攻击时间表

谷歌的威胁分析师指出,APT29 利用0day和nday漏洞的历史由来已久。

2021年,俄网络作战团队利用了0day漏洞CVE-2021-1879,针对东欧的政府官员进行攻击,试图传送一个窃取cookie的框架,该框架能够窃取LinkedIn、Gmail和Facebook账户。

2023年11月,APT29入侵了蒙古的ZF网站 “mfa.gov[.]mn” 和 “cabinet.gov[.]mn”,并植入了一个恶意iframe,用于传递CVE-2023-41993的漏洞攻击。下图展示了来自Google的攻击链。

在这里插入图片描述

这是一个iOS WebKit漏洞,APT29利用它来窃取运行iOS 16.6.1及更早版本iPhone用户的浏览器Cookie。

TAG报告称,这个漏洞利用与Intellexa在2023年9月使用的完全相同,当时利用CVE-2023-41993作为0day漏洞。下图展示了重叠的漏洞利用代码,其中左侧为APT29水坑攻击的漏洞利用代码。

在这里插入图片描述

2024年2月,APT29攻击了蒙古的另一个ZF网站 mga.gov[.]mn,注入了一个新的iframe来传递相同的漏洞利用代码。

2024年7月,APT利用CVE-2024-5274和CVE-2024-4671漏洞,影响Google Chrome,攻击访问 mga.gov[.]mn 的Android用户。谷歌Chrome浏览器的两个漏洞如下图所示:

在这里插入图片描述

目的是窃取存储在受害者Chrome浏览器上的Cookie、密码和其他敏感数据。

CVE-2024-5274漏洞的利用代码是NSO Group在2024年5月0day漏洞利用代码的略微修改版本,CVE-2024-4671的漏洞利用代码与Intellexa以前的漏洞利用代码具有许多相似之处。下图展示了漏洞利用的时间表:

在这里插入图片描述


Spy软件供应商

目前尚不清楚 APT29 黑客如何获得先前只有 NSO Group 和 Intellexa 所知的漏洞利用方法。然而,仅凭有限的信息独立创建自己的漏洞利用代码似乎不太可能。

  • 一种可能的解释包括 APT29 黑客入侵spy软件供应商,招募或贿赂在这些公司工作的内部人员,或通过直接或间接方式保持合作。

  • 另一种可能是他们向之前将这些漏洞作为0day漏洞出售给监控公司的经纪人购买。

无论这些漏洞利用方法如何到达这些具备国家支持的高级威胁组织手中,关键问题在于它们确实被利用了。这使得及时解决公告中标记为“有限范围利用”的0day漏洞变得更加重要——比主流用户可能意识到的要紧迫得多。


二.漏洞知识描述

CVE-2021-1879

CVE-2021-1879漏洞为Apple WebKit跨站脚本漏洞,影响Apple iOS、iPadOS 和watchOS。攻击者可通过构造恶意的Web页面,利用该漏洞发起XSS攻击,从而获取敏感信息、如用户凭证、cookie会话等。WebKit是苹果开发的一个浏览器引擎,它主要为Safari网络浏览器提供动力,其他iOS网络浏览器也依赖于WebKit。此问题已在 iOS 12.5.2、iOS 14.4.2 和 iPadOS 14.4.2、watchOS 7.3.3 中修复。

  • https://nvd.nist.gov/vuln/detail/CVE-2021-1879

在这里插入图片描述

谷歌称,SolarWinds黑客利用该漏洞从西欧政府官员那里窃取了网络安全凭证。SolarWinds黑客了解到并利用了位于浏览器引擎 WebKit 中的 iOS 零日漏洞(跟踪为CVE-2021-1879)来破坏更新的 iPhone,并通过针对全球手机获利。谷歌研究人员 Maddie Stone 和 Clement Lecitne 写道,威胁行为者很可能是俄资助的组织,利用当时未知的iOS 零日漏洞,并怀疑黑客正在为俄外国情报局工作。

在此活动中,攻击者使用 LinkedIn Messaging 向西欧国家的政府官员发送恶意链接,以攻击他们。如果目标从 iOS 设备访问该链接,他们将被重定向到攻击者控制的域,该域为下一阶段的有效负载提供服务。经过多次验证检查以确保被利用的设备是真实设备后,最终有效载荷将用于利用 CVE-2021-1879。

  • 此漏洞会关闭同源策略保护,以便从多个流行网站(包括 Google、Microsoft、LinkedIn、Facebook 和 Yahoo)收集身份验证 cookie,并通过 WebSocket 将它们发送到攻击者控制的 IP。受害者需要从 Safari 在这些网站上打开一个会话,才能成功泄露cookie。

CVE-2023-41993

CVE-2021-1879漏洞名称为Apple多款产品WebKit代码执行漏洞,由多伦多大学芒克学院Citizen Lab的Bill Marczak和Google威胁分析小组的Maddie Stone发现。其是一个存在于Webkit中的任意代码执行漏洞(某些Apple操作系统中的内存管理漏洞),攻击者可以通过诱使受害者访问特制的网络内容来触发该漏洞,从而导致任意代码执行。支持包括MacOS 14.0和iOS 16.7之前的 的多个iOS版本受影响。

  • https://nvd.nist.gov/vuln/detail/CVE-2023-41993

在这里插入图片描述

该PoC基于对JavaScriptCore引擎的深入理解,利用了一个新的因素值,用于判断堆内存位置是否相同。由于JSC编译器中的控制流优化,存在一种可能使得两个具有不同偏移量的GetByOffset节点混淆的情况。然而,这种混淆并不能直接导致任意内存地址访问,因为它受限于LICMPhase(Loop Invariant Code Motion Phase)。开发者巧妙地利用了GetterSetter对象来引发类型混淆,从而实现在结构ID上的操纵,最终获得读写权限。

同步发现的3款漏洞分别为:

  • CVE-2023-41991:恶意应用程序能够绕过签名验证
  • CVE-2023-41992:本地攻击者权限提升
  • CVE-2023-41993:处理 Web 内容时导致任意代码执行

CVE-2024-5274

CVE-2024-5274漏洞为Google Chromium V8 类型混淆漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。在125.0.6422.112之前的Google Chrome V8版本中的类型混淆,允许远程攻击者通过精心设计的HTML页面在沙盒内执行任意代码。

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的沙箱内运行。

  • https://nvd.nist.gov/vuln/detail/CVE-2024-5274
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5274

在这里插入图片描述

2024年5月24日,奇安信CERT监测到Google发布公告称Google Chrome V8类型混淆漏洞(CVE-2024-5274)存在在野利用,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。目前官方已发布安全更新,建议用户尽快升级至最新版本:

  • Google Chrome(Windows/Mac) >= 125.0.6422.112/.113
  • Google Chrome(Linux) >= 125.0.6422.112

CVE-2024-4671

CVE-2024-4671为Google Chromium Visuals释放后重用(Use-After-Free)漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行,该漏洞存在于Google Chrome的Visuals组件中。124.0.6367.201之前的Google Chrome版本中Visuals的Use after free漏洞,允许已入侵渲染器进程的远程攻击者通过精心设计的 HTML 页面执行沙盒逃逸。

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。支持多标签浏览,每个标签页面都在独立的“沙箱”内运行。libvpx是开源的视频编解码器库,可以同时支持VP8和VP9视频编码。

  • https://nvd.nist.gov/vuln/detail/CVE-2024-4671
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4671

在这里插入图片描述

近日,奇安信CERT监测到Google 发布公告称Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或应用程序崩溃。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。影响版本

  • Google Chrome(Windows) < 124.0.6367.201/.202
  • Google Chrome(Mac) < 124.0.6367.201/.202
  • Google Chrome(Linux) < 124.0.6367.201

三.总结

这篇文章详细讲解了APT29利用spy软件供应商创建的IOS、Chrome漏洞,并解析其攻击战法,包括利用CVE-2021-1879、CVE-2023-41993、CVE-2024-5274、CVE-2024-4671漏洞,并解析了这些常用于APT组织的漏洞知识。

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。

在这里插入图片描述
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!

(By:Eastmount 2024-08-31 星期六 夜于贵阳 http://blog.csdn.net/eastmount/ )


参考资料:

  • [1] https://www.bleepingcomputer.com/news/security/russian-apt29-hackers-use-ios-chrome-exploits-created-by-spyware-vendors/
  • [2] https://www.secrss.com/articles/66176
  • [3] https://nvd.nist.gov/vuln
  • [4] https://thehackernews.com/2021/03/apple-issues-urgent-patch-update-for.html?m=1
  • [5] https://www.secrss.com/articles/65992

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/417588.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32F100xx 系统架构

STM32F100xx 系统架构 参考手册下载关键词: STM32F100xx advanced Arm-based 32-bit MCUs - Reference manual 总结 注意: 这个架构是High-density value line devices的图。 ICode bus 把M3内核指令总线连接到闪存指令接口。Bus matrix 由4主4从构成。 总线矩阵管理内核系…

进程

进程 进程进程的含义PCB块内存空间进程分类&#xff1a;进程的作用进程的状态进程已经准备好执行&#xff0c;所有的资源都已分配&#xff0c;只等待CPU时间进程的调度 进程相关命6.查询进程相关命令1.ps aux2.top3.kill和killall发送一个信号 函数1.fork();2.getpid3.getppid示…

Web 应用开源项目大全结合巴比达内网穿透

巴比达内网穿透配置 一、引言 无论是家庭用户还是企业用户&#xff0c;内网穿透技术的需求日益增长。巴比达&#xff08;BabiDa&#xff09;内网穿透工具以其简单易用的特性&#xff0c;成为了许多用户的首选。本文将详细介绍巴比达内网穿透的配置方法&#xff0c;帮助您轻松实…

人工智能在行动:利用人工智能扩展您的显示和视频工作

在过去的18个月里&#xff0c;我们见证了一场由生成式AI带动的变革性革命。我们看到消费者对生成式AI工具的使用从最初的好奇&#xff0c;逐渐发展到掌握知识并付诸行动。2024年标志着 AI实际应用 的一年&#xff0c;这一年里&#xff0c;每个人都开始利用这些技术来变得更加敏…

rancher upgrade 【rancher 升级】

文章目录 1. 背景2. 下载3. 安装4. 检查5. 测试5.1 创建项目5.2 创建应用5.3 删除集群5.4 注册集群 1. 背景 rancher v2.8.2 升级 v2.9.1 2. 下载 下载charts helm repo add rancher-latest https://releases.rancher.com/server-charts/latest helm repo update helm fetc…

Qt 应用程序主界面

主要窗口类的概述 这些类提供了典型现代主应用程序窗口所需的一切&#xff0c;如主窗口本身、菜单和工具栏、状态栏等。 QAction 可以插入小部件的抽象用户界面操作 QActionGroup 将动作组合在一起 QDockWidget 小部件&#xff0c;可以停靠在QMainWindow中&#xff0c;也可以作…

5、Django Admin后台移除“删除所选”操作

默认情况下&#xff0c;Django Admin后台的listview模型列表页&#xff0c;会有一个Delete Selected删除所选操作。假设你需要再从Hero管理模型中移除该删除操作。 ModelAdmin.get_actions方法可以返回所有的操作方法。通过覆盖此方法&#xff0c;移除其中delete_selected方法…

毒猫粮危机!安全主食罐怎么选?健康猫罐头推荐

央视315晚会揭露了“毒猫粮”事件&#xff0c;让众多爱猫人士心惊胆战。河北邢台南和区&#xff0c;这个被誉为“中国宠物食品之都”的地方&#xff0c;年产量惊人的130万吨宠物食品背后&#xff0c;竟隐藏着用劣质原料冒充高端食材的丑闻。低价粉料取代了昂贵鲜肉&#xff0c;…

[STL --stack_queue详解]stack、queue,deque,priority_queue,容器适配器

stack stack介绍 1、stack是一种容器适配器&#xff0c;专门用在具有后进先出操作的上下文环境中&#xff0c;其删除只能从容器的一端进行元素的插入与提取操作。 2、stack是作为容器适配器被实现的&#xff0c;容器适配器即是对特定类封装作为其底层的容器&#xff0c;并提供…

0成本实现.NET Web API 8.0项目内网映射

1.背景 最近在学习CICD&#xff0c;里面会有用到内网映射的使用场景。为了加深对内网映射实操的记忆。我实操了下基于.Net 8.0的内网映射&#xff0c;并支持互联网访问。本文主要介绍了在win11下安装路由侠&#xff0c;并将.net 8.0发布到win11&#xff0c;项目运行、路由侠配…

NR L2 UL处理data优先级问题

MAC 处理LCG 的顺序 有优先级如上图 L2 UL处理data优先级是有明确规定的&#xff0c;这里简单整理下。 MAC logical channel 处理data的优先级&#xff0c;即哪些data要优先处理有定义不同的优先级&#xff0c;如上图。 对于RLC 也有类似的规定&#xff0c;如上图38.322中所述&…

解决 Transformer 根本缺陷,CoPE 论文爆火:所有大模型都能获得巨大改进!

即使最强大的 LLM 也难以通过 token 索引来关注句子等概念&#xff0c;现在有办法了。 最近两天&#xff0c;马斯克和 LeCun 的口水战妥妥成为大家的看点。这两位 AI 圈的名人你来我往&#xff0c;在推特&#xff08;现为 X&#xff09;上相互拆对方台。 LeCun 在宣传自家最新论…

【C++】C++ STL探索:Vector使用与背后底层逻辑

C语法相关知识点可以通过点击以下链接进行学习一起加油&#xff01;命名空间缺省参数与函数重载C相关特性类和对象-上篇类和对象-中篇类和对象-下篇日期类C/C内存管理模板初阶String使用String模拟实现 在string类文章中提及了STL容器间的接口是大差不差的&#xff0c;本篇将直…

Linux | System V 共享内存:工作原理与使用指南

目录 一、System V 共享内存概述 二、共享内存的使用方法 1. shmget()&#xff1a;创建或获取共享内存段 2. shmat()&#xff1a;将共享内存附加到进程地址空间 3. shmdt()&#xff1a;将共享内存从进程地址空间分离 4. shmctl()&#xff1a;控制共享内存段 三、共享内存…

Kioxia的NVMe RAID卸载有何亮点?

随着每一代固态硬盘SSD的速度不断提升&#xff0c;RAID阵列面临着一个重大的挑战&#xff1a;如何有效地维持并扩展性能。即使是通过专门的RAID卡来处理RAID操作的情况下&#xff0c;例如在RAID 5阵列中&#xff0c;简单的写请求也需要涉及两次读取和两次写入不同的SSD。如果没…

《深度学习》OpenCV 图像轮廓检测、轮廓处理及代码演示

目录 一、图像轮廓检测 1、边缘检测和轮廓检测 2、常用的图像轮廓检测方法包括&#xff1a; 1&#xff09;基于梯度的方法 2&#xff09;基于边缘检测器的方法 3&#xff09;基于阈值的方法 3、查找轮廓的函数 4、轮廓的绘制 5、轮廓特征 1&#xff09;轮廓面积 2&a…

Linux远程管理工具推荐

原文阅读:【巨人肩膀社区专栏分享】Linux远程管理工具推荐 前两天xshell不让用了&#xff0c;刚好一台新电脑要装一个远程连接工具&#xff0c;准备试试其他。网上找了一些资料整理如下。 欢迎各位看官评论区说出你在使用的工具&#xff0c;期待你的使用经验分享&#xff08;…

亲笔签支撑重庆市实现“军人退役一件事”,助力退伍老兵再启新程

9月&#xff0c;又到退伍季。重庆市退役军人事务局积极推动&#xff0c;联合公安、人社、医保等部门&#xff0c;将退役军人返乡需要办理的退役报到、户口登记、预备役登记、身份证办理、医疗保险、养老保险、一次性经济补助金等12项分散在5个部门的服务事项&#xff0c;集成到…

可交互、会学习、自成长机器人——李德毅院士

在以“农业无人农场”为主题的中国工程科技论坛上&#xff0c;中国工程院院士、欧亚科学院院士、中国人工智能学会和中国指挥与控制学会名誉理事长&#xff0c;中科原动力首席科学家李德毅院士应邀做题为《机器具身交互智能》的演讲。李德毅院士表示&#xff0c;智能机器不但把…

最新HTML5中的视频和音频讲解

第6章 HTML5中的视频和音频 H5新增video,audio,播放视频和音频&#xff0c;统称为多媒体元素。 6.1 多媒体元素基本属性 video用于电影文件和其他视频流的播放。 audio用于音乐文件和其他音频流的播放。 video的属性 src&#xff1a;文件路径&#xff0c;本地或者网络上。…