俄羅斯駭客APT29開始利用Intellexa與NSO Group所開發的攻擊程式

Google威脅分析小組（Threat Analysis Group，TAG）近日揭露，他們在一個利用蒙古政府網站展開水坑攻擊的活動中，發現了俄羅斯駭客APT29所使用的攻擊工具非常類似商業監控業者（Commercial Surveillance Vendors，CSV）Intellexa與NSO Group所開發的攻擊程式，而且就算這些零日（Zero-Day）攻擊程式已變成N日（N-Day）攻擊程式，還是能有效攻擊那些尚未修補的受害者。

TAG分別是在去年的11月、今年的2月，以及今年7月觀察到相關攻擊行動。駭客先是危害了蒙古國的官網及外交部網站，再於網站上植入了鎖定iPhone（CVE-2023-41993）及Android（CVE-2024-5274及CVE-2024-4671）漏洞的攻擊程式，藉由水坑攻擊以竊取受害者的憑證Cookie。

由於此次的駭客與2021年利用CVE-2021-1879漏洞來攻擊西方政府官員的俄羅斯駭客APT29，都採用了同樣的Cookie竊取框架，使得TAG認為他們是同一批人。

此外，TAG還發現駭客在去年11月及今年2月攻陷CVE-2023-41993漏洞的攻擊程式，與Intellexa所開發的攻擊程式非常相似，而在今年7月攻陷CVE-2024-5274的攻擊程式則與NSO Group所開發的很像，所打造的CVE-2024-4671攻擊程式也是從Intellexa的CVE-2021-37973攻擊程式而來。

APT29所使用的攻擊程式都經過了微幅修改，但與Intellexa或NSO Group的攻擊程式最大的不同在於，最初這些攻擊程式都是利用零日漏洞，而在APT29使用時，這些漏洞都已被修補，已成為N日漏洞。

TAG表示，他們並不確定APT29如何取得相關的攻擊程式，但企圖彰顯這些由商業監控業者所開發的攻擊程式終究會淪落到國家級駭客的手上，此外，水坑攻擊依然是利用N日漏洞的有效途徑，可大規模地針對那些可能沒有修補的使用者進行攻擊。

NSO Group與Intellexa都專門開發商業間諜軟體，已分別在2021年11月及去年7月被列入美國《實體名單》（Entity List），美國政府認定它們參與惡意網路活動，禁止美國個人及業者與其交易。