Представители команды Google Threat Analysis Group (TAG), являющейся подразделением американской корпорации Google, заявили о серьёзной активности хакерской группы APT29, которая считается пророссийской и русскоязычной. В рамках кибератак, проводимых этой группировкой, якобы используются эксплойты израильской фирмы NSO, направленные на пользователей гаджетов, работающих под управлением операционных систем iOS и Android.
Эксперты по информационной безопасности рассказали, что зарегистрированные кибератаки проводились с ноября 2023 года по июль 2024 года. Разработчики соответствующие исправления для уязвимостей были выпущены ещё в конце 2023 года, но многие пользователи не успели обновиться, из-за чего их гаджеты оказались уязвимыми для кибератак с применением эксплойтов для iOS и Android от NSO.
Аналитики сообщили, что русские хакеры якобы эксплуатировали уязвимость с идентификатором CVE-2023-41993, которая затрагивает инструмент WebKit и приводит к выполнению произвольного кода в процессе обработки специально созданного веб-контента. При этом уточняется, что корпорация Apple представила исправление для этой ошибки ещё в конце сентября 2022 года.
Как сообщили в Google Threat Analysis Group, представители хакерской группировки APT29 смогли с помощью эксплойтов скомпрометировать официальные веб-ресурсы mfa.gov[.]mn и cabinet.gov[.]mn, добавив в исходный код страниц вредоносный iframe. Благодаря такому подходу киберпреступникам удавалось украсть куки-файлы владельцев гаджетов iPhone, которые работали под управлением операционной системы iOS 16.6.1 и более ранних версий.
Также отмечается, что хакерская группировка APT29 летом 2024 года начала активно использовать эксплойты для уязвимостей с идентификаторами CVE-2024-5274 и CVE-2024-4671, которые касались браузера Google Chrome. Эти атаки проводились на пользователей операционной системы Android, посещавших сайт mga.gov[.]mn.