iPhoneのSafariとGoogle Chromeの脆弱性のサイバー攻撃への悪用確認

2024年8月31日 19時7分

Googleは8月29日(米国時間)、「State-backed attackers and commercial surveillance vendors repeatedly use the same exploits」において、iPhoneおよびiPadのSafariと、Google Chromeの修正済みの脆弱性を悪用するサイバー攻撃のキャンペーンを確認したと報じた。このキャンペーンではモンゴル政府のWebサイトが侵害され、水飲み場型攻撃に悪用されたという。

State-backed attackers and commercial surveillance vendors repeatedly use the same exploits

○悪用された脆弱性の概要

Googleの脅威分析グループ(TAG: Threat Analysis Group)が確認したこのキャンペーンは、2023年11月から2024年7月までの期間に3度実行されたことが確認されている。攻撃者はそのすべての攻撃において、モンゴル政府のWebサイトを侵害し、アクセスしたユーザーに対しエクスプロイトを配信した。このキャンペーンの目的は、WebブラウザのCookie情報の窃取とされる。

悪用された脆弱性および攻撃の概要は次のとおり。

○iPhoneユーザーへの攻撃

2023年11月、iOS 16.6.1およびこれ以前のバージョンを実行しているiPhoneユーザーに対し、「CVE-2023-41993」を悪用するエクスプロイトが配信された。配信元Webサイトは「cabinet.gov[.]mn」および「mfa.gov[.]mn」とされる。

この攻撃では、最終的にCookie情報を窃取するマルウェアが展開された。このマルウェアは次のWebサイトのCookieだけを窃取する。

accounts.google[.]com

login.microsoftonline[.]com

mail.google[.]com/mail/mu/0

www.linkedin[.]com

linkedin[.]com

www.office[.]com

login.live[.]com

outlook.live[.]com

login.yahoo[.]com

mail.yahoo[.]com

facebook[.]com

github[.]com

icloud[.]com

○2度目の攻撃

2024年2月、上記と同じ攻撃が再度繰り返された。配信元Webサイトは「mfa.gov[.]mn」のみとされる。このとき配布されたマルウェアは上記Webサイトに加え、「webmail.mfa.gov[.]mn/owa/auth」のCookieも窃取する。

○Google Chromeへの攻撃

2024年7月、Google Chromeバージョン121、122、123を使用するAndroidユーザーに対し、「CVE-2024-5274」および「CVE-2024-4671」を悪用するエクスプロイトが配信された。配信元Webサイトは「mfa.gov[.]mn」のみとされる。

この攻撃では、最終的に次の情報を窃取するマルウェアが展開された。

すべてのCookie

クレジットカード情報やアカウント関連情報

Chromeに保存されているパスワード

Chromeの履歴

すべてのトラストトークン

○影響と対策

Googleはこのキャンペーンに使用された最終ペイロードの分析などから、ロシア政府の支援を受けているとみられる脅威グループ「APT29(別名：Midnight Blizzard)」がキャンペーンに関与した疑いがあると指摘している。攻撃は修正済みの脆弱性を悪用したものだったが、アップデートを実施していないユーザーは多いとみられ、Googleは効果的な攻撃手段になり得ると評価している。

このキャンペーンの標的となったデバイスおよびWebブラウザを使用しているユーザーには、同様の攻撃を回避するためにiOSおよびGoogle Chromeを最新バージョンにアップデートすることが推奨されている。また、Googleは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。

みんなの感想は？

iPhoneのSafariとGoogle Chromeの脆弱性のサイバー攻撃への悪用確認

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング