Google의 위협 분석 그룹(TAG)은 최근 해킹 캠페인에서 이전에 상업용 감시 공급업체(CSV)인 Intellexa와 NSO Group에서 사용했던 익스플로잇과 "동일하거나 매우 유사한" 익스플로잇이 사용되었다는 증거를 발견했습니다.
목요일에 발표된 TAG 보고서에 따르면, 구글은 러시아 정부 지원 해킹 그룹 "ATP29"(Midnight Blizzard로도 알려짐)가 2023년 11월부터 2024년 7월 사이에 몽골 정부 웹사이트를 표적으로 삼아 두 개의 워터링 홀 캠페인을 수행했다고 "적당한 확신"을 가지고 평가했습니다.
워터링 홀 공격은 특정 집단이 자주 방문하는 합법적인 웹사이트를 악성코드에 감염시켜 해당 집단을 표적으로 삼는 사이버공격의 한 형태입니다.
"우리는 이 캠페인이 러시아 정부 지원 행위자 APT29와 연관되어 있다고 적당히 확신합니다. 워터링 홀 캠페인의 각 반복에서 공격자는 이전에 상업용 감시 공급업체(CSV)인 Intellexa와 NSO Group에서 사용한 익스플로잇과 동일하거나 놀라울 정도로 유사한 익스플로잇을 사용했습니다." TAG 연구원인 클레멘트 르시뉴가 보고서에 썼습니다.
구글 조사에 따르면 위협 행위자는 2023년 11월부터 2024년 7월 사이에 몽골 정부 웹사이트 cabinet.gov[.]mn과 mfa.gov[.]mn에 악성 코드를 삽입하고 iPhone의 Safari 브라우저와 Android의 Google Chrome의 취약점을 악용하여 해당 웹사이트를 손상시켰습니다.
예를 들어, 2023년 11월(cabinet.gov[.]mn 및 mfa.gov[.]mn)과 2024년 2월(mfa.gov[.]mn) 캠페인은 n-day 취약점을 사용하여 Safari에 저장된 사용자 계정 쿠키를 훔치기 위해 CVE-2023-41993을 통해 iOS WebKit 익스플로잇을 제공했습니다. 페이로드는 TAG가 이전에 2021년에 의심되는 APT29 캠페인에서 사용된 것으로 관찰한 것과 동일한 쿠키 스틸러 프레임워크였습니다.
보고서는 "iPhone 또는 iPad 기기를 사용하여 방문했을 때 워터링 홀 사이트는 iframe을 사용하여 정찰 페이로드를 제공했으며, 이는 최종적으로 WebKit 익스플로잇을 사용하여 기기에서 브라우저 쿠키를 빼내기 위한 또 다른 페이로드를 다운로드하고 배포하기 전에 유효성 검사를 수행했습니다."라고 덧붙였습니다.
"WebKit 익스플로잇은 당시 현재 iOS 버전(iOS 16.7)을 실행하는 사용자에게는 영향을 미치지 않았으며, iOS 버전 16.6.1 이하에서만 작동했습니다. 잠금 모드가 활성화된 사용자는 취약한 iOS 버전을 실행하더라도 영향을 받지 않았습니다."
2024년 7월, mfa.gov[.]mn이 다시 침해되어 CVE-2024-5274 및 CVE-2024-4671을 타겟팅하는 Chrome 익스플로잇 체인을 전달하여 m121~m123 버전을 실행하는 Android 사용자를 대상으로 Chrome 정보 도용 페이로드를 배포했습니다.
TAG는 "높은 수준의 개요에서 보면 공격과 최종 목표는 본질적으로 iOS와 동일합니다. 즉, n-day 취약점을 사용하여 자격 증명 쿠키를 훔치지만 기술적인 측면에서 약간의 차이가 있습니다."라고 말했습니다.
위에 언급된 세 가지 취약점은 모두 NSO Group 또는 Intellexa가 이전에 악용했습니다. 그러나 APT29가 상업적으로 판매되는 스파이웨어에 어떻게 처음 접근했는지는 여전히 불분명합니다.
보고서는 "APT29 의심 세력이 이러한 익스플로잇을 어떻게 얻었는지는 불확실하지만, 저희의 조사에 따르면 상업적 감시 산업에서 처음 개발한 익스플로잇이 위험한 위협 세력에게 확산되는 정도는 어느 정도인지가 드러났습니다."라고 밝혔습니다.
구글은 이러한 익스플로잇을 발견하자마자 애플, 알파벳의 안드로이드와 구글 크롬 사업부, 몽골 CERT에 해당 캠페인에 대해 즉시 통보했다고 밝혔습니다.
구글은 의심되는 러시아 캠페인 동안 패치가 사용 가능했던 n-day 익스플로잇을 제공한 기본 취약성이 패치되지 않은 기기를 여전히 효과적으로 손상시킬 수 있다고 밝혔습니다.
Google의 조사 결과는 워터링 홀 공격과 CSV가 원래 제로데이로 사용했던 n-day 익스플로잇의 재사용으로 인한 지속적인 위협을 강조합니다.
이러한 사이버 위협으로부터 보호하려면 사용자와 조직에 신속하게 패치를 적용하고, 소프트웨어와 브라우저를 최신 상태로 유지하여 보호해야 합니다.
또한, 각 계정마다 강력하고 고유한 비밀번호를 사용하고, 가능하면 2단계 인증을 활성화하고, 우수한 VPN을 사용하고, 이메일과 문자 메시지에서 온 의심스러운 링크를 열지 않는 것이 좋습니다.
*참조한 원본 글 https://techworm.net/2024/08/russian-hackers-exploit-chrome-safari-flaw-victim.html
'알면 써먹기 좋은 지식' 카테고리의 다른 글
| 모든 젤다 게임의 출시일과 연대순으로 정리하였습니다. (1) | 2024.08.31 |
|---|---|
| 유튜브에서 연령 제한을 우회해서 영상 보는 방법 (최신판) (2) | 2024.08.31 |
| 겨드랑이 냄새를 없애는 방법, 피부과 전문의가 말하는 최고의 데오도란트 (0) | 2024.08.25 |
| 발 통증 완화를 위해 정형외과 의사가 추천하는 5가지 발바닥 근막염 스트레칭: 벽 스트레칭 등 (0) | 2024.08.25 |
| 의사가 추천하는 자가 관리 팁으로 통풍 발작의 통증을 완화하세요 (0) | 2024.08.25 |
댓글