Rusya destekli bir tehdit aktörüne (çeşitli adlarla APT29, Cozy Bear ve benzeri isimlerle bilinir) bağlı birden fazla istismar kampanyası Geceyarısı Kar Fırtınası) Ticari casus yazılım satıcılarının daha önce de kullandığı n günlük mobil istismarları sunduğu keşfedildi.
Google’ın Tehdit Analizi Grubu’na (TAG) göre, istismar kampanyaları “bir kaynaktan” gerçekleştirildi sulama deliği saldırısı Moğolistan hükümet web sitelerinde” ve her biri daha önce ticari gözetim satıcıları (CSV’ler) Intellexa ve NSO GrubuBu, Google TAG araştırmacılarının da belirttiği gibi, yazarların ve/veya sağlayıcıların aynı olduğunu gösteriyor.
Sulama deliği saldırılarında, tehdit aktörleri iki web sitesini, cabinet.gov’u etkiledi[.]mn ve mfa.gov[.]Moğolistan Kabinesi ve Dışişleri Bakanlığı’na ait olan mn. Daha sonra, web sitesi ziyaretçilerinin cihazlarını ele geçirmek amacıyla, Android’deki iOS ve Chrome’daki bilinen kusurları istismar etmek için kod enjekte ettiler.
Kampanyalar üç ayrı olayda ortaya çıktı, bunlardan biri geçen yılın sonunda, sonuncusu ise sadece bir ay önce gerçekleşti. Kampanyalardan ikisi, yakın zamanda yamalanmış ancak daha önce bir güvenlik açığı tarafından istismar edilmeden önce CVE-2023-41993 olarak izlenen bir güvenlik açığı aracılığıyla bir iOS istismarı sağladı. Intellexa ve NSO Grubu.
“Saldırganların bu açıkları nasıl elde ettiğini bilmiyoruz” araştırmacılar dedi ki“Açık olan şey, APT aktörlerinin başlangıçta CSV’ler tarafından 0 gün olarak kullanılan n günlük istismarları kullanıyor olmasıdır. Yaygın istismar kullanımının dışında, son sulama deliği kampanyalarının teslimat ve ikinci aşama hedeflerine yönelik yaklaşımlarında farklılık gösterdiği unutulmamalıdır.”
Araştırmacılar, istismarların nasıl elde edildiğine dair hala yanıtlanmamış sorular olmasına rağmen, bunun nasıl bir vurgu olduğunu ekliyor. ilk olarak ticari gözetim endüstrisi tarafından geliştirilen istismarlar Tehdit aktörleri onlarla karşılaştıkça daha da büyük bir tehdit haline gelirler.