Peneliti keamanan siber telah menandai sejumlah kampanye eksploitasi yang memanfaatkan kelemahan pada peramban Apple Safari dan Google Chrome yang kini telah ditambal untuk menginfeksi pengguna ponsel dengan malware pencuri informasi.
“Kampanye ini mengirimkan eksploitasi n-hari yang patch-nya tersedia, tetapi masih akan efektif terhadap perangkat yang tidak di-patch,” kata peneliti Google Threat Analysis Group (TAG) Clement Lecigne dikatakan dalam laporan yang dibagikan kepada The Hacker News.
Aktivitas tersebut, yang diamati antara November 2023 dan Juli 2024, terkenal karena menyampaikan eksploitasi melalui serangan lubang air pada situs web pemerintah Mongolia, cabinet.gov(.)mn dan mfa.gov(.)mn.
Rangkaian intrusi ini telah dikaitkan dengan keyakinan yang cukup tinggi kepada aktor ancaman yang didukung negara Rusia dengan nama sandi APT29 (alias Midnight Blizzard), dengan kesamaan yang diamati antara eksploitasi yang digunakan dalam kampanye dan yang sebelumnya dikaitkan dengan vendor pengawasan komersial (CSV) Intellexa dan NSO Group, yang menunjukkan penggunaan ulang eksploitasi.
Kerentanan yang menjadi pusat kampanye tercantum di bawah ini –
- CVE-2023-41993 – Cacat WebKit yang dapat mengakibatkan eksekusi kode arbitrer saat memproses konten web yang dibuat khusus (Diperbaiki oleh Apple di iOS 16.7 dan Safari 16.6.1 pada September 2023)
- CVE-2024-4671 – Cacat penggunaan setelah bebas di komponen Visual Chrome yang dapat mengakibatkan eksekusi kode sembarangan (Telah diperbaiki oleh Google di Chrome versi 124.0.6367.201/.202 untuk Windows dan macOS, dan versi 124.0.6367.201 untuk Linux pada Mei 2024)
- CVE-2024-5274 – Cacat kebingungan tipe pada mesin JavaScript dan WebAssembly V8 yang dapat mengakibatkan eksekusi kode sembarangan (Telah diperbaiki oleh Google di Chrome versi 125.0.6422.112/.113 untuk Windows dan macOS, dan versi 125.0.6422.112 untuk Linux pada bulan Mei 2024)
Kampanye November 2023 dan Februari 2024 dikatakan melibatkan kompromi dua situs web pemerintah Mongolia – keduanya di situs web pertama dan satu-satunya mfa.gov(.)mn di situs web terakhir – untuk memberikan eksploitasi untuk CVE-2023-41993 melalui komponen iframe berbahaya yang menunjuk ke domain yang dikendalikan aktor.
“Saat dikunjungi dengan perangkat iPhone atau iPad, situs tempat minum tersebut menggunakan iframe untuk menyajikan muatan pengintaian, yang melakukan pemeriksaan validasi sebelum akhirnya mengunduh dan menyebarkan muatan lain dengan eksploitasi WebKit untuk mengekstraksi kuki browser dari perangkat,” kata Google.
Payload adalah kerangka kerja pencuri cookie yang sebelumnya dijelaskan secara rinci oleh Google TAG sehubungan dengan eksploitasi tahun 2021 iOS zero-day (CVE-2021-1879) untuk memanen cookie autentikasi dari beberapa situs web populer, termasuk Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub, dan Apple iCloud, dan mengirimkannya melalui WebSocket ke alamat IP yang dikendalikan penyerang.
“Korban perlu membuka sesi di situs web ini dari Safari agar kuki dapat berhasil dicuri,” catat Google saat itu, seraya menambahkan “penyerang menggunakan pesan LinkedIn untuk menargetkan pejabat pemerintah dari negara-negara Eropa Barat dengan mengirimkan tautan berbahaya kepada mereka.”
Fakta bahwa modul pencuri cookie juga menargetkan situs web “webmail.mfa.gov(.)mn” menunjukkan bahwa pegawai pemerintah Mongolia kemungkinan menjadi target kampanye iOS.
Situs web mfa.gov(.)mn terinfeksi untuk ketiga kalinya pada bulan Juli 2024 untuk menyuntikkan kode JavScript yang mengarahkan pengguna Android yang menggunakan Chrome ke tautan berbahaya yang menyajikan rantai eksploitasi yang menggabungkan kelemahan CVE-2024-5274 dan CVE-2024-4671 untuk menyebarkan muatan pencurian informasi browser.
Khususnya, rangkaian serangan menggunakan CVE-2024-5274 untuk membahayakan perender dan CVE-2024-4671 untuk mencapai kerentanan lolos dari sandbox, yang pada akhirnya memungkinkan untuk keluar dari Chrome isolasi situs perlindungan dan mengirimkan malware pencuri.
“Kampanye ini memberikan penghapusan biner sederhana dengan menghapus semua laporan Kerusakan Chrome dan mengekstraksi basis data Chrome berikut kembali ke server track-adv(.)com – mirip dengan muatan akhir dasar yang terlihat pada kampanye iOS sebelumnya,” catat Google TAG.
Raksasa teknologi itu juga mengatakan eksploitasi yang digunakan dalam serangan lubang air pada November 2023 dan oleh Intellexa pada bulan September 2023 berbagi kode pemicu yang sama, pola yang juga diamati dalam pemicu untuk CVE-2024-5274 yang digunakan dalam serangan tempat minum pada bulan Juli 2024 dan oleh NSO Group pada bulan Mei 2024.
Terlebih lagi, eksploitasi untuk CVE-2024-4671 dikatakan memiliki kesamaan dengan pelarian sandbox Chrome sebelumnya yang ditemukan Intellexa digunakan di alam liar sehubungan dengan kelemahan Chrome lainnya. CVE-2021-37973yang ditangani oleh Google pada bulan September 2021.
Meskipun saat ini tidak jelas bagaimana penyerang berhasil memperoleh eksploitasi untuk ketiga kelemahan tersebut, temuan tersebut memperjelas bahwa aktor negara-bangsa menggunakan eksploitasi n-day yang awalnya digunakan sebagai zero-day oleh CSV.
Namun, hal ini memunculkan kemungkinan bahwa eksploitasi tersebut mungkin diperoleh dari broker kerentanan yang sebelumnya menjualnya ke vendor spyware sebagai zero-day, yang pasokannya terus-menerus menjaga bola tetap bergulir saat Apple dan Google memperkuat pertahanan.
“Selain itu, serangan watering hole tetap menjadi ancaman di mana eksploitasi canggih dapat digunakan untuk menargetkan mereka yang mengunjungi situs secara teratur, termasuk pada perangkat seluler,” kata para peneliti. “Watering hole masih dapat menjadi jalur yang efektif untuk eksploitasi n-day dengan menargetkan populasi secara massal yang mungkin masih menjalankan browser yang belum ditambal.”
