Le groupe russe APT29 est soupçonné d’avoir exploité d’anciennes failles zero-day dans Apple WebKit et Google Chrome dans une série d’attaques qui ressemblent fortement à des exploits de logiciels espions, selon un rapport publié jeudi par le groupe d’analyse des menaces de Google.
Le rapport de Google TAG a suivi plusieurs campagnes d’exploitation qui se sont produites entre novembre 2023 et juillet 2024. Les campagnes ont utilisé « un exploit iOS WebKit affectant les versions iOS antérieures à 16.6.1, puis plus tard, une chaîne d’exploitation Chrome contre les utilisateurs d’Android exécutant les versions m121 à m123 », indique le rapport. Les chercheurs ont attribué la campagne avec une confiance modérée au groupe de menaces soutenu par la Russie APT29, également connu sous le nom de Cozy Bear et Nobelium, qui était responsable de la tristement célèbre attaque de la chaîne d’approvisionnement de 2020 contre SolarWinds.
Les exploits ont été diffusés via des attaques de type « watering hole » impliquant des sites Web du gouvernement mongol, et les campagnes « ont diffusé des exploits n-day pour lesquels des correctifs étaient disponibles, mais qui seraient toujours efficaces contre des appareils non corrigés », a déclaré Google. De plus, les exploits pourraient provenir de fournisseurs de logiciels espions, que Google qualifie de « hackers ». fournisseurs de surveillance commerciale.
Le rapport décrit l’attaque en trois itérations, survenues en novembre 2023, février 2024 et juillet 2024. Les deux premières attaques ont utilisé CVE-2023-41993, un bug Apple WebKit attribué à Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto, ainsi qu’à Maddie Stone de Google TAG. Citizen Lab recherche depuis septembre dernier, il a été affirmé que cette faille et d’autres étaient utilisées par le logiciel espion Predator de Cytrox.
L’attaque de février était très similaire, utilisant un iframe empoisonné similaire sur un site d’État mongol (mfa.gov[.]mn) ainsi que la même faille ciblant les mêmes utilisateurs d’iPhone. La principale différence était que la liste des sites Web d’État empoisonnés a été mise à jour pour en inclure d’autres (tels que webmail.mfa.gov[.](mn/owa/auth).
L’attaque de juillet était plus particulière dans la mesure où l’iframe empoisonnée ciblait les utilisateurs d’Android via une chaîne d’exploitation Chrome plutôt que les utilisateurs d’iPhone. Le but ultime de ces attaques était le vol d’identifiants.
“mfa.gov[.]mn a été à nouveau compromis pour inclure un morceau de javascript redirigeant les utilisateurs d’Android utilisant Google Chrome vers https://track-adv[.]”com/analytics.php?personalization_id=”, peut-on lire dans le rapport. “L’iframe a livré une chaîne d’exploitation Google Chrome ciblant CVE-2024-5274 et CVE-2024-4671 pour déployer une charge utile de vol d’informations Chrome.”
« Bien que nous ne sachions pas exactement comment les acteurs présumés d’APT29 ont acquis ces exploits, nos recherches soulignent à quel point les exploits initialement développés par l’industrie de la surveillance commerciale sont diffusés auprès d’acteurs de menaces dangereux », indique le rapport.
Google a déclaré avoir informé le CERT mongol de la nécessité de remédier aux sites Web infectés et que « bien que les vulnérabilités sous-jacentes aient déjà été traitées, nous avons informé Apple et nos partenaires d’Android et de Google Chrome des campagnes au moment de la découverte ».
La rédaction de TechTarget a contacté Google et Apple pour obtenir des commentaires supplémentaires.
Alexander Culafi est un rédacteur principal d’actualités sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.
2024-08-29 16:02:41
1724939067
#groupe #terroriste #russe #APT29 #utilise #des #logiciels #espions #dans #nouvelles #campagnes
