【安全资讯】Google称俄罗斯组织利用NSO Group漏洞攻击蒙古政府

概要：

Google安全研究人员发现了一起针对蒙古政府网站的间谍活动，并将其归因于俄罗斯支持的黑客组织APT29。此次攻击使用了商业监控供应商Intellexa和NSO Group之前部署的漏洞，标志着APT29首次使用这些商业供应商的漏洞进行攻击。此次事件引起了广泛关注，揭示了国家支持的黑客组织与商业监控工具之间的复杂关系。

主要内容：

Google威胁分析小组（TAG）在一份报告中指出，从2023年11月到2024年7月，APT29在蒙古外交部和内阁网站上添加了恶意代码，利用这些网站作为“水坑”攻击的载体。最初，攻击目标是iPhone用户，随后扩展到Android和Chrome用户。虽然所有漏洞都已发布补丁，但未及时更新设备的用户仍然受到影响。

此次攻击的核心技术点包括利用CVE-2023-41993漏洞攻击iPhone用户，以及利用CVE-2024-5274和CVE-2024-4671漏洞攻击Android和Chrome用户。APT29通过这些漏洞窃取浏览器的认证Cookie，进而获取用户的账户数据和浏览历史。TAG还发现，APT29使用的iOS漏洞与Intellexa之前使用的漏洞代码相同，表明两者可能有相同的作者或供应商。

TAG还发现，APT29在蒙古政府网站上插入代码，利用Google Chrome漏洞链攻击Android用户，目标是窃取所有网站的保存Cookie以及账户数据，如信用卡信息和密码。虽然研究人员不清楚APT29如何获得这些漏洞，但他们警告称，类似的高级持续性威胁（APT）组织现在也在使用商业供应商最初使用的漏洞。

APT29与俄罗斯对外情报局（SVR）有关，是克里姆林宫最知名的黑客组织之一。该组织最近因攻击TeamViewer和英国政府官员的电子邮件而引起关注。TAG表示，水坑攻击仍然是一个威胁，尤其是当复杂的漏洞被用来针对经常访问某些网站的用户时。