Il Threat Analysis Group di Google ha individuato diversi attacchi tra novembre 2023 e luglio 2024 contro due siti governativi della Mongolia. Gli autori sono i cybercriminali russi del gruppo APT29 (noto anche come Midnight Blizzard), finanziato dall’intelligence russa. Gli esperti dell’azienda di Mountain View hanno notato che gli exploit sono simili a quelli usati dagli spyware commerciali venduti da NSO Group e Intellexa.
Exploit per Safari e Chrome
I cybercriminali russi hanno utilizzato la tecnica del watering hole. I siti governativi della Mongolia sono stati compromessi con il caricamento di iframe che sfruttano la vulnerabilità CVE-2023-41993 di Safari per iOS e le vulnerabilità CVE-2024-5274 e CVE-2024-4671 di Chrome per Android.
Quando un utente visita i siti con un iPhone, sul quale è installato iOS 16.6.1 o versioni precedenti, viene automaticamente scaricato un malware che ruba i cookie da Safari. L’exploit è identico a quello sfruttato dallo spyware venduto da Intellexa (probabilmente acquistato dal gruppo APT29). I cookie hanno permesso di accedere agli account email governativi.
Il secondo attacco è molto simile. Sfruttando le due vulnerabilità di Chrome sono stati rubati cookie, numeri delle carte di credito, password e cronologia. In questo caso, l’exploit per la vulnerabilità CVE-2024-5274 è simile a quello usato dallo spyware venduto da NSO Group, mentre l’exploit per la vulnerabilità CVE-2024-4671 è simile a quella usata da Intellexa.
Un portavoce di NSO Group ha dichiarato che l’azienda non vende i suoi prodotti in Russia. Probabilmente il gruppo APT29 ha ottenuto gli exploit da broker che li avevano precedentemente venduti a NSO Group.