Группа анализа угроз Google обнаружила несколько кампаний эксплойтов, которые использовались для атак на правительственные сайты Монголии с помощью атаки «водяной ямы». В начале кампании использовались эксплойты для iOS WebKit, а затем для Chrome на устройствах Android. Оказалось, что эти кампании связаны с APT29 и использовались такие же эксплойты, как у коммерческих поставщиков Intellexa и NSO Group.
Midnight Blizzard (APT29) APT
Хотя основные уязвимости уже были исправлены, Google сообщил Apple, а также партнерам из Android и Chrome о этих кампаниях. Также было уведомлено монгольское CERT об исправлении зараженных веб-сайтов.
Одна из кампаний затронула правительственные сайты Монголии, которые были скомпрометированы для загрузки скрытого iframe с сайта track-adv.com. В разных итерациях кампании использовались эксплойты для iOS и Chrome, которые позволяли злоумышленникам получать доступ к файлам cookie и информации из браузера. Кампания для iOS использовала разведывательную полезную нагрузку для определения модели устройства и размера экрана. Эксплойт из этой кампании был похож на эксплойт Intellexa, что говорит о возможной связи между авторами.
Indicators of Compromise
URLs
- https://ceo-adviser.com/fb-connect.php?online=1
- https://track-adv.com/analytics.php?personalization_id=
- https://track-adv.com/market-analytics.php?pc=1
SHA256
- 21682218bde550b2f06ee2bb4f6a39cff29672ebe27acbb3cee5db79bf6d7297
- 8bd9a73da704b4d7314164bff71ca76c15742dcc343304def49b1e4543478d1a
- d19dcbb7ab91f908d70739968b14b26d7f6301069332609c78aafc0053b6a7e1
- df21c2615bc66c369690cf35aa5a681aed1692a5255d872427a2970e2894b2e3