Cybersecurityonderzoekers hebben meerdere exploitcampagnes ontdekt die gebruikmaken van inmiddels gepatchte fouten in de browsers Apple Safari en Google Chrome om mobiele gebruikers te infecteren met informatie stelende malware.
“Deze campagnes leverden n-day exploits op waarvoor patches beschikbaar waren, maar die nog steeds effectief zouden zijn tegen apparaten zonder patches”, aldus Clement Lecigne, onderzoeker bij Google Threat Analysis Group (TAG), in een rapport dat werd gedeeld met The Hacker News.
De activiteit, waargenomen tussen november 2023 en juli 2024, staat bekend om de exploits die werden uitgevoerd via een watering hole-aanval op de websites van de Mongoolse overheid, cabinet.gov(.)mn en mfa.gov(.)mn.
De inbraakset wordt met redelijke zekerheid toegeschreven aan een door de Russische staat gesteunde dreigingsactor met de codenaam APT29 (ook bekend als Midnight Blizzard). Er zijn overeenkomsten waargenomen tussen de exploits die in de campagnes worden gebruikt en die welke eerder in verband werden gebracht met de commerciële bewakingsleveranciers (CSV’s) Intellexa en NSO Group, wat duidt op hergebruik van exploits.
De kwetsbaarheden die centraal staan in de campagnes worden hieronder vermeld:
- CVE-2023-41993 – Een WebKit-fout die kan leiden tot willekeurige code-uitvoering bij het verwerken van speciaal vervaardigde webinhoud (door Apple opgelost in iOS 16.7 en Safari 16.6.1 in september 2023)
- CVE-2024-4671 – Een use-after-free-fout in het Visuals-onderdeel van Chrome, die kan leiden tot willekeurige code-uitvoering (opgelost door Google in Chrome-versie 124.0.6367.201/.202 voor Windows en macOS, en versie 124.0.6367.201 voor Linux in mei 2024)
- CVE-2024-5274 – Een typeverwarringsfout in de V8 JavaScript- en WebAssembly-engine die kan leiden tot willekeurige code-uitvoering (opgelost door Google in Chrome-versie 125.0.6422.112/.113 voor Windows en macOS, en versie 125.0.6422.112 voor Linux in mei 2024)
Er wordt gezegd dat de campagnes van november 2023 en februari 2024 te maken hebben gehad met het compromitteren van de twee websites van de Mongoolse overheid – beide in de eerste en alleen mfa.gov(.)mn in de laatste – om een exploit voor CVE-2023-41993 te leveren door middel van een kwaadaardig iframe-component die verwijst naar een door de actor beheerd domein.
“Toen de watering hole-sites werden bezocht met een iPhone of iPad, gebruikten ze een iframe om een verkenningslading te serveren, die validatiecontroles uitvoerde voordat uiteindelijk een andere lading met de WebKit-exploit werd gedownload en geïmplementeerd om browsercookies van het apparaat te exfiltreren”, aldus Google.
De payload is een cookie stealer framework dat Google TAG eerder beschreef in verband met de exploitatie in 2021 van een iOS zero-day (CVE-2021-1879) om authenticatiecookies te verzamelen van verschillende populaire websites, waaronder Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub en Apple iCloud, en deze via WebSocket te verzenden naar een door de aanvaller gecontroleerd IP-adres.
“Het slachtoffer zou een sessie op deze websites via Safari moeten hebben geopend om cookies succesvol te kunnen exfiltreren”, aldus Google destijds. “Aanvallers gebruikten LinkedIn-berichten om overheidsfunctionarissen uit West-Europese landen te targeten door hen schadelijke links te sturen.”
Het feit dat de cookie stealer-module ook de website “webmail.mfa.gov(.)mn” selecteert, suggereert dat Mongoolse overheidsmedewerkers waarschijnlijk het doelwit waren van de iOS-campagne.
De website mfa.gov(.)mn werd in juli 2024 voor de derde keer geïnfecteerd door JavaScript-code te injecteren die Android-gebruikers die Chrome gebruikten, omleidde naar een schadelijke link die een exploitketen serveerde met de fouten CVE-2024-5274 en CVE-2024-4671 om een payload te implementeren die browserinformatie steelt.
De aanvalsreeks maakt met name gebruik van CVE-2024-5274 om de renderer te compromitteren en CVE-2024-4671 om een sandbox-ontsnappingskwetsbaarheid te creëren, waardoor het uiteindelijk mogelijk wordt om de isolatiebeveiliging van Chrome-sites te omzeilen en stealer-malware te verspreiden.
“Deze campagne levert een eenvoudig binair bestand dat alle Chrome-crashrapporten verwijdert en de volgende Chrome-databases terug naar de track-adv(.)com-server exfiltreert – vergelijkbaar met de basisuiteindelijke payload die in de eerdere iOS-campagnes werd gezien”, aldus Google TAG.
De techgigant zei verder dat de exploits die werden gebruikt bij de watering hole-aanval in november 2023 en door Intellexa in september 2023 dezelfde triggercode delen, een patroon dat ook werd waargenomen in de triggers voor CVE-2024-5274 die werden gebruikt bij de watering hole-aanval in juli 2024 en door NSO Group in mei 2024.
Bovendien zou de exploit voor CVE-2024-4671 overeenkomsten vertonen met een eerdere Chrome sandbox escape die Intellexa in het wild gebruikte in verband met een andere Chrome-fout, CVE-2021-37973, die in september 2021 door Google werd verholpen.
Hoewel het momenteel niet duidelijk is hoe de aanvallers de exploits voor de drie fouten hebben verkregen, maken de bevindingen duidelijk dat actoren van nationale overheden gebruikmaken van n-day-exploits die oorspronkelijk door CSV’s als zero-days werden gebruikt.
Het roept echter de mogelijkheid op dat de exploits afkomstig zijn van een kwetsbaarheidsmakelaar die ze eerder als zero-days aan spywareleveranciers heeft verkocht. Dankzij een constante aanvoer van deze exploits blijft de bal aan het rollen terwijl Apple en Google hun verdediging versterken.
“Bovendien blijven watering hole-aanvallen een bedreiging, waarbij geavanceerde exploits kunnen worden gebruikt om diegenen te targeten die regelmatig sites bezoeken, inclusief op mobiele apparaten”, aldus de onderzoekers. “Watering holes kunnen nog steeds een effectieve manier zijn voor n-day exploits door massaal een populatie te targeten die mogelijk nog steeds ongepatchte browsers gebruikt.”
