I ricercatori di cybersecurity hanno recentemente identificato una serie di campagne di exploit attive che sfruttano vulnerabilità ora risolte nei browser Apple Safari e Google Chrome per infettare utenti mobili con malware sottrattore di informazioni. Queste campagne hanno utilizzato exploit n-day, per i quali erano già disponibili patch, ma che risultavano ancora efficaci contro dispositivi non aggiornati. L'attività è stata osservata tra novembre 2023 e luglio 2024 e ha coinvolto attacchi di tipo watering hole su siti web governativi mongoli, come cabinet.gov.mn e mfa.gov.mn.

Un attacco watering hole compromette siti web visitati frequentemente da gruppi specifici di utenti o industrie per distribuire malware e ottenere accesso ai loro sistemi. Questo set di intrusioni è stato attribuito con moderata certezza a un attore di minaccia sponsorizzato dallo stato russo, noto come APT29 o Midnight Blizzard. Sono state osservate somiglianze tra gli exploit impiegati nelle campagne e quelli precedentemente collegati a venditori di sorveglianza commerciale come Intellexa e NSO Group, suggerendo un riutilizzo degli exploit.

Le vulnerabilità sfruttate includono:

• CVE-2023-41993: Un difetto in WebKit che poteva portare all'esecuzione arbitraria di codice quando veniva processato contenuto web appositamente creato. Risolto da Apple in iOS 16.7 e Safari 16.6.1 a settembre 2023.
• CVE-2024-4671: Un difetto di tipo use-after-free nel componente Visuals di Chrome che poteva portare all'esecuzione arbitraria di codice. Risolto da Google in Chrome versione 124.0.6367.201/.202 per Windows e macOS, e versione 124.0.6367.201 per Linux a maggio 2024.
• CVE-2024-5274: Un difetto di tipo confusion nel motore V8 JavaScript e WebAssembly che poteva portare all'esecuzione arbitraria di codice. Risolto da Google in Chrome versione 125.0.6422.112/.113 per Windows e macOS, e versione 125.0.6422.112 per Linux a maggio 2024.

Le campagne di novembre 2023 e febbraio 2024 hanno compromesso i due siti web governativi mongoli per distribuire un exploit per CVE-2023-41993 attraverso un iframe malevolo. Quando visitati con un dispositivo iPhone o iPad, i siti watering hole utilizzavano un iframe per servire un payload di ricognizione che eseguiva controlli di validazione prima di scaricare e distribuire un altro payload con l'exploit WebKit per esfiltrare i cookie del browser dal dispositivo.

Il payload era un framework sottrattore di cookie che Google TAG aveva precedentemente dettagliato in relazione allo sfruttamento di un zero-day di iOS nel 2021, mirato a raccogliere cookie di autenticazione da diversi siti web popolari. Il sito web mfa.gov.mn è stato infettato una terza volta a luglio 2024 per iniettare codice JavaScript che reindirizzava gli utenti Android che utilizzavano Chrome a un link malevolo che distribuiva una catena di exploit combinando le vulnerabilità CVE-2024-5274 e CVE-2024-4671 per distribuire un payload sottrattore di informazioni del browser.

In particolare, la sequenza di attacco utilizzava CVE-2024-5274 per compromettere il renderer e CVE-2024-4671 per ottenere una vulnerabilità di escape dalla sandbox, consentendo di superare le protezioni di isolamento del sito di Chrome e distribuire un malware sottrattore che poteva rubare cookie, password, dati delle carte di credito, cronologia del browser e token di fiducia.