Hacker russi: Safari e Chrome per attacchi su siti governativi

Hacker russi: Safari e Chrome per attacchi su siti governativi

Attacchi mirati utilizzano vulnerabilità di Safari e Chrome per rubare informazioni

Gli hacker russi hanno sfruttato vulnerabilità di Safari e Chrome per attaccare siti governativi, utilizzando una tecnica nota come “attacco al pozzo” per infettare i dispositivi mobili con malware che ruba informazioni. Questi attacchi sono stati eseguiti tra novembre 2023 e luglio 2024 e sono stati attribuiti con moderata fiducia a un gruppo di hacker statali russi noto come APT29 (Midnight Blizzard).

Attacchi e tecnologie utilizzate

Gli attacchi sono stati eseguiti utilizzando due vulnerabilità principali:

  • CVE-2023-41993: Una vulnerabilità di WebKit che permette l’esecuzione di codice arbitrario quando viene elaborato contenuto web specificamente creato.
  • CVE-2024-4671: Una vulnerabilità di uso dopo la liberazione nel componente Visuals di Chrome che permette l’esecuzione di codice arbitrario.
  • CVE-2024-5274: Una vulnerabilità di confusione di tipo nel motore JavaScript e WebAssembly V8 che permette l’esecuzione di codice arbitrario.

Campagne di attacco

Le campagne di attacco sono state eseguite in tre momenti diversi:

  1. Novembre 2023: Un sito governativo è stato compromesso per distribuire un payload di esplorazione che utilizzava CVE-2023-41993. Questo payload ha eseguito controlli di validazione prima di scaricare e distribuire un altro payload con l’exploit WebKit per esfiltrare cookie del browser dal dispositivo.
  2. Febbraio 2024: Un altro sito governativo è stato compromesso per distribuire un payload di esplorazione che utilizzava CVE-2023-41993. Questo payload ha eseguito controlli di validazione prima di scaricare e distribuire un altro payload con l’exploit WebKit per esfiltrare cookie del browser dal dispositivo.
  3. Luglio 2024: Un sito governativo è stato infettato per la terza volta per iniettare codice JavaScript che ha rediretto gli utenti Android utilizzanti Chrome a un link malizioso che ha servito un exploit chain combinando CVE-2024-5274 e CVE-2024-4671 per distribuire un payload di ruba informazioni del browser.

Analisi e conclusioni

L’attività osservata tra novembre 2023 e luglio 2024 è significativa per il fatto che utilizza exploit per cui erano disponibili patch, ma sarebbero ancora efficaci contro dispositivi non aggiornati. Gli exploit utilizzati nelle campagne di attacco mostrano un pattern di reuso di codice tracce con quelli precedentemente collegati a fornitori di sorveglianza commerciale (CSV) come Intellexa e NSO Group.

Suggerimenti e consigli

  • Aggiornamento software: Assicurarsi di avere sempre i software aggiornati, in particolare i browser.
  • Antivirus: Utilizzare un antivirus affidabile e mantenere le copie di backup regolari.
  • Consapevolezza: Evitare di visitare siti non sicuri e non aprire email o link sconosciuti.
  • Monitoraggio: Monitorare costantemente i log di accesso e i file del sistema per rilevare eventuali attacchi.

Gli attacchi mirati utilizzano vulnerabilità di Safari e Chrome per rubare informazioni. È essenziale mantenere i software aggiornati e utilizzare strumenti di sicurezza affidabili per proteggere i dispositivi.

Fonte: https://thehackernews.com/2024/08/russian-hackers-exploit-safari-and.html

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto