Эксплойты NSO Group обнаружены в сетях Монголии

Специалисты Google зафиксировали несколько кибератак на правительственные сайты Монголии в период с ноября 2023 года по июль 2024 года. Хакеры использовали уязвимости в iOS и Android для кражи данных пользователей.

Атаки типа watering hole представляли собой попытки взлома пользователей с помощью эксплойтов, которые распространялись через зараженные сайты. Киберпреступники сначала использовали эксплойт для WebKit, нацеленный на пользователей iOS с версиями системы ниже 16.6.1. В ходе атак через скомпрометированные сайты распространялся вредоносный код, крадущий cookie-файлы.

Позже хакеры переключились на пользователей Android, применив цепочку эксплойтов для браузера Chrome, охватывающих версии m121-m123. Эксплойты использовали уязвимости, для которых уже были выпущены исправления, но они оставались опасными для неисправленных устройств.

В обеих кампаниях злоумышленники использовали эксплойты, схожие с теми, что применялись коммерческими компаниями Intellexa и NSO Group, занимающимися разработкой шпионских программ.

На правительственные сайты Монголии (cabinet.gov.mn и mfa.gov.mn) были добавлены скрытые iframe, загружающие контент с контролируемого хакерами сайта. iframe распространял эксплойт CVE-2023-41993, который похищал куки у пользователей iPhone, работающих на старых версиях iOS.

В случае с Android, хакеры использовали JavaScript для перенаправления на сторонний сайт, откуда загружалась цепочка эксплойтов для Chrome. Цепочка включала уязвимости CVE-2024-5274 и CVE-2024-4671, позволяя злоумышленникам похищать информацию с устройств

Google своевременно уведомила Apple, Google и CERT Монголии о найденных угрозах, что помогло устранить проблему. Однако остается неясным, каким образом хакеры получили доступ к эксплойтам, первоначально разработанным коммерческими компаниями.