Google威胁分析小组(Threat Analysis Group,TAG)近日揭露,他们在一个利用蒙古政府网站展开水坑攻击的活动中,发现了俄罗斯骇客APT29所使用的攻击工具非常类似商业监控业者(Commercial Surveillance Vendors,CSV)Intellexa与NSO Group所开发的攻击程式,而且就算这些零日(Zero-Day)攻击程式已变成N日(N-Day)攻击程式,还是能有效攻击那些尚未修补的受害者。
TAG分别是在去年的11月、今年的2月,以及今年7月观察到相关攻击行动。骇客先是危害了蒙古国的官网及外交部网站,再于网站上植入了锁定iPhone(CVE-2023-41993)及Android(CVE-2024-5274及CVE-2024-4671)漏洞的攻击程式,借由水坑攻击以窃取受害者的凭证Cookie。
由于此次的骇客与2021年利用CVE-2021-1879漏洞来攻击西方政府官员的俄罗斯骇客APT29,都采用了同样的Cookie窃取框架,使得TAG认为他们是同一批人。
此外,TAG还发现骇客在去年11月及今年2月攻陷CVE-2023-41993漏洞的攻击程式,与Intellexa所开发的攻击程式非常相似,而在今年7月攻陷CVE-2024-5274的攻击程式则与NSO Group所开发的很像,所打造的CVE-2024-4671攻击程式也是从Intellexa的CVE-2021-37973攻击程式而来。
APT29所使用的攻击程式都经过了微幅修改,但与Intellexa或NSO Group的攻击程式最大的不同在于,最初这些攻击程式都是利用零日漏洞,而在APT29使用时,这些漏洞都已被修补,已成为N日漏洞。
TAG表示,他们并不确定APT29如何取得相关的攻击程式,但企图彰显这些由商业监控业者所开发的攻击程式终究会沦落到国家级骇客的手上,此外,水坑攻击依然是利用N日漏洞的有效途径,可大规模地针对那些可能没有修补的使用者进行攻击。
NSO Group与Intellexa都专门开发商业间谍软体,已分别在2021年11月及去年7月被列入美国《实体名单》(Entity List),美国政府认定它们参与恶意网路活动,禁止美国个人及业者与其交易。