TTL OSINT

Поддерживаемые государством злоумышленники и коммерческие поставщики систем видеонаблюдения неоднократно используют одни и те же эксплойты

В статье рассматривается серия кибератак на правительственные веб-сайты Монголии, которые приписываются поддерживаемой российским правительством организации APT29. В этих атаках использовались кампании по использованию эксплойтов, которые предоставляли эксплойты n-day, для которых были доступны исправления, но которые по-прежнему были эффективны для незащищенных устройств. Эксплойты, использованные в этих кампаниях, были идентичны или поразительно похожи на те, которые использовались коммерческими поставщиками систем видеонаблюдения Intellexa и NSO Group. Атаки начались в ноябре 2023 года и были нацелены как на пользователей iOS, так и на пользователей Android. cabinet.gov [.]мн и mfa.gov [.]множество веб-сайтов. В кампании для iOS использовался эксплойт CVE-2023-41993, в то время как в кампании для Android использовалась цепочка эксплойтов Google Chrome, отправленная из скрытого iframe на веб-сайте mfa.gov[.]mn. В статье подчеркивается неизменная полезность атак "водопой" для использования сложных эксплойтов и их широкое использование субъектами, поддерживаемыми правительством, и коммерческими поставщиками систем видеонаблюдения. В нем также подчеркивается важность надежной защиты по умолчанию, такой как изоляция сайта в Google Chrome на Android, для предотвращения кражи данных из скомпрометированных средств визуализации.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/

Выборочные показатели Compromise:

• d19dcbb7ab91f908d70739968b14b26d7f6301069332609c78aafc0053b6a7e1
• df21c2615bc66c369690cf35aa5a681aed1692a5255d872427a2970e2894b2e3
• https://track-adv.com/market-analytics.php?pc=1
• 8bd9a73da704b4d7314164bff71ca76c15742dcc343304def49b1e4543478d1a
• https://ceo-adviser.com/fb-connect.php?online=1

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал