একটি ইসরায়েলি নজরদারিওয়্যার কোম্পানি গত সপ্তাহে প্রকাশ করা তিনটি অ্যাপলের শূন্য-দিনের দুর্বলতা ব্যবহার করেছে আইফোনের জন্য একটি এক্সপ্লয়েট চেইন তৈরি করতে এবং অ্যান্ড্রয়েডগুলিকে শোষণ করার জন্য একটি ক্রোম জিরো-ডে - সবই মিশরীয় সংস্থাগুলির উপর একটি অভিনব আক্রমণ।
একটি সাম্প্রতিক রিপোর্ট অনুযায়ী Google এর থ্রেট অ্যানালাইসিস গ্রুপ (TAG) থেকে কোম্পানি - যা নিজেকে "Intellexa" বলে — মিশরে নামহীন লক্ষ্যবস্তুগুলির বিরুদ্ধে তার স্বাক্ষর "প্রিডেটর" স্পাইওয়্যার ইনস্টল করতে শোষণ শৃঙ্খলের মাধ্যমে অর্জিত বিশেষ অ্যাক্সেস ব্যবহার করে।
প্রিডেটর প্রথম Cytrox দ্বারা বিকশিত হয়েছিল, TAG অনুসারে, সাম্প্রতিক বছরগুলিতে Intellexa-এর ছত্রছায়ায় শোষিত বেশ কয়েকটি স্পাইওয়্যার বিকাশকারীদের মধ্যে একটি। কোম্পানি একটি পরিচিত হুমকি: Intellexa পূর্বে প্রিডেটর মোতায়েন করেছিল 2021 সালে মিশরীয় নাগরিকদের বিরুদ্ধে।
মিশরে ইন্টেলেক্সার আইফোন সংক্রমণ ম্যান-ইন-দ্য-মিডল (এমআইটিএম) আক্রমণের মাধ্যমে শুরু হয়েছিল, ব্যবহারকারীরা HTTP সাইটগুলিতে পৌঁছানোর চেষ্টা করার সময় বাধা দেয় (এনক্রিপ্ট করা https অনুরোধগুলি অনাক্রম্য ছিল)।
"MITM ইনজেকশনের ব্যবহার আক্রমণকারীকে একটি ক্ষমতা দেয় যেখানে একটি নির্দিষ্ট লিঙ্কে ক্লিক করা, একটি নথি খোলা ইত্যাদির মতো একটি সাধারণ পদক্ষেপ নিতে ব্যবহারকারীর উপর নির্ভর করতে হবে না," TAG গবেষকরা ইমেলের মাধ্যমে নোট করেছেন৷ "এটি শূন্য-ক্লিক শোষণের অনুরূপ, কিন্তু শূন্য-ক্লিক আক্রমণের পৃষ্ঠে একটি দুর্বলতা খুঁজে না পেয়ে।"
তারা যোগ করেছে, "এটি বাণিজ্যিক নজরদারি বিক্রেতাদের দ্বারা সৃষ্ট ক্ষতির আরেকটি উদাহরণ এবং তারা শুধুমাত্র ব্যক্তি নয়, সমাজের জন্য হুমকিস্বরূপ।"
iOS-এ 3 জিরো-ডে, 1 অ্যাটাক চেইন
MITM গ্যাম্বিট ব্যবহার করে, ব্যবহারকারীদের একটি আক্রমণকারী-নিয়ন্ত্রিত সাইটে পুনঃনির্দেশিত করা হয়েছিল। সেখান থেকে, যদি ফাঁদে আটকানো ব্যবহারকারীর উদ্দেশ্য হয় - প্রতিটি আক্রমণ শুধুমাত্র নির্দিষ্ট ব্যক্তিদের লক্ষ্য করে - তাদের একটি দ্বিতীয় ডোমেনে পুনঃনির্দেশিত করা হবে, যেখানে শোষণ ট্রিগার হবে।
ইন্টেলেক্সার শোষণ শৃঙ্খলে তিনটি শূন্য-দিন জড়িত দুর্বলতা, যা প্যাচ করা হয়েছে iOS 17.0.1 হিসাবে। তারা হিসাবে ট্র্যাক করছি জন্য CVE-2023-41993 — সাফারিতে একটি রিমোট কোড এক্সিকিউশন (RCE) বাগ; জন্য CVE-2023-41991 — PAC বাইপাস করার অনুমতি দেয় এমন একটি শংসাপত্র যাচাইকরণের সমস্যা; এবং জন্য CVE-2023-41992 — যা ডিভাইস কার্নেলে বিশেষাধিকার বৃদ্ধি সক্ষম করে।
তিনটি ধাপ সম্পূর্ণ হওয়ার পরে, একটি ছোট বাইনারি নির্ধারণ করবে যে প্রিডেটর ম্যালওয়্যার ড্রপ করা হবে কিনা।
“আইওএসের জন্য একটি পূর্ণ শূন্য-দিনের শোষণ শৃঙ্খল খুঁজে পাওয়া সাধারণত আক্রমণকারীদের জন্য বর্তমানে কি প্রান্ত কাটছে তা শেখার ক্ষেত্রে অভিনব। যখনই একটি শূন্য-দিনের শোষণ বন্য-অভ্যন্তরে ধরা পড়ে, এটি আক্রমণকারীদের ব্যর্থতার ঘটনা - তারা আমাদের জানতে চায় না যে তাদের কী দুর্বলতা রয়েছে এবং কীভাবে তাদের শোষণ কাজ করে, "গবেষকরা ইমেলে উল্লেখ করেছেন। "একটি নিরাপত্তা এবং প্রযুক্তি শিল্প হিসাবে, আমাদের কাজ হল এই শোষণগুলি সম্পর্কে যতটা শিখতে পারি তাদের জন্য একটি নতুন তৈরি করা আরও কঠিন করে তোলা।"
অ্যান্ড্রয়েডে একটি একক দুর্বলতা
আইওএস ছাড়াও, ইন্টেলেক্সা এমআইটিএম-এর মাধ্যমে অ্যান্ড্রয়েড ফোনগুলিকে টার্গেট করেছে এবং টার্গেটগুলিতে সরাসরি পাঠানো এক-কালীন লিঙ্কগুলি।
এই সময় শুধুমাত্র একটি দুর্বলতা প্রয়োজন ছিল: জন্য CVE-2023-4762, উচ্চ-তীব্রতা কিন্তু CVSS দুর্বলতা-তীব্রতা স্কেলে 8.8-এর মধ্যে 10 রেটিং। ত্রুটি গুগল ক্রোমে বিদ্যমান এবং আক্রমণকারীদের একটি বিশেষভাবে তৈরি করা HTML পৃষ্ঠার মাধ্যমে একটি হোস্ট মেশিনে নির্বিচারে কোড কার্যকর করতে সক্ষম করে। একজন নিরাপত্তা গবেষক দ্বারা স্বাধীনভাবে রিপোর্ট করা হয়েছে এবং 5 সেপ্টেম্বর পর্যন্ত প্যাচ করা হয়েছে, Google TAG বিশ্বাস করে যে Intellexa পূর্বে দুর্বলতাকে শূন্য-দিন হিসাবে ব্যবহার করছিল।
গুড নিউজ হল গুগল ট্যাগ অনুসারে ফলাফলগুলি আক্রমণকারীদের ড্রয়িং বোর্ডে ফেরত পাঠাবে৷
"আক্রমণকারীদের এখন তাদের চারটি শূন্য-দিনের শোষণ প্রতিস্থাপন করতে হবে, যার অর্থ তাদের আইফোনে প্রিডেটর ইনস্টল করার ক্ষমতা বজায় রাখার জন্য তাদের নতুন শোষণ কিনতে বা বিকাশ করতে হবে," গবেষকরা ইমেল করেছেন। "প্রতিবার যখন তাদের শোষণ বন্যের মধ্যে ধরা পড়ে, তখন আক্রমণকারীদের অর্থ, সময় এবং সংস্থান খরচ হয়।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain
- : হয়
- :না
- :কোথায়
- 1
- 10
- 17
- 2021
- 8
- a
- ক্ষমতা
- সম্পর্কে
- প্রবেশ
- অনুযায়ী
- কর্ম
- যোগ
- যোগ
- বিরুদ্ধে
- উপলক্ষিত
- সব
- অনুমতি
- an
- বিশ্লেষণ
- এবং
- অ্যান্ড্রয়েড
- অন্য
- আপেল
- রয়েছি
- AS
- At
- আক্রমণ
- আক্রমন
- চেষ্টা
- পিছনে
- BE
- হয়েছে
- শুরু হয়
- হচ্ছে
- বিশ্বাস
- তক্তা
- নম
- কিন্তু
- কেনা
- by
- কল
- CAN
- সামর্থ্য
- কেস
- ধরা
- ঘটিত
- শংসাপত্র
- চেন
- ক্রৌমিয়াম
- নাগরিক
- কোড
- ব্যবসায়িক
- কোম্পানি
- সম্পূর্ণ
- খরচ
- পেরেছিলেন
- সৃষ্টি
- এখন
- কাটা
- মোতায়েন
- নির্ধারণ
- বিকাশ
- উন্নত
- ডেভেলপারদের
- যন্ত্র
- সরাসরি
- দলিল
- ডোমেইন
- ডন
- অঙ্কন
- ড্রপ
- প্রতি
- প্রান্ত
- মিশর
- ইমেইল
- সম্ভব
- এনক্রিপ্ট করা
- তীব্রতাবৃদ্ধি
- ইত্যাদি
- থার (eth)
- উদাহরণ
- এক্সিকিউট
- ফাঁসি
- কাজে লাগান
- কীর্তিকলাপ
- ব্যর্থতা
- আবিষ্কার
- আবিষ্কার
- তথ্যও
- প্রথম
- ত্রুটি
- জন্য
- চার
- থেকে
- সম্পূর্ণ
- অর্জন
- Gambit
- দেয়
- ভাল
- গুগল
- গ্রুপ
- ছিল
- কঠিনতর
- ক্ষতিগ্রস্ত
- আছে
- জমিদারি
- নিমন্ত্রণকর্তা
- কিভাবে
- এইচটিএমএল
- HTTP
- HTTPS দ্বারা
- if
- অনাক্রম্য
- in
- স্বাধীনভাবে
- ব্যক্তি
- শিল্প
- সংক্রমণ
- ইনস্টল
- অভিপ্রেত
- জড়িত
- আইওএস
- আইফোন
- ইসরাইলি
- সমস্যা
- IT
- এর
- নিজেই
- কাজ
- JPG
- জানা
- পরিচিত
- বড়
- গত
- শিখতে
- শিক্ষা
- মত
- LINK
- লিঙ্ক
- মেশিন
- বজায় রাখা
- করা
- ম্যালওয়্যার
- মানে
- MITM
- টাকা
- অনেক
- প্রয়োজন
- নতুন
- সংবাদ
- nst
- বিঃদ্রঃ
- সুপরিচিত
- উপন্যাস
- এখন
- সংখ্যা
- of
- on
- ONE
- কেবল
- উদ্বোধন
- or
- সংগঠন
- আমাদের
- বাইরে
- পৃষ্ঠা
- ফোন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্রাণীদের
- পূর্বে
- সুবিধা
- বিরল
- নাগাল
- সাম্প্রতিক
- নির্ভর করা
- দূরবর্তী
- প্রতিস্থাপন করা
- রিপোর্ট
- অনুরোধ
- গবেষক
- গবেষকরা
- Resources
- s
- Safari
- স্কেল
- দ্বিতীয়
- নিরাপত্তা
- পাঠান
- প্রেরিত
- সেপ্টেম্বর
- অনুরূপ
- অনন্যসাধারণ
- সাইট
- সাইট
- ছোট
- সমাজ
- প্রশিক্ষণ
- বিশেষত
- নির্দিষ্ট
- স্পাইওয়্যার
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- পৃষ্ঠতল
- নজরদারি
- T
- TAG
- গ্রহণ করা
- লক্ষ্য
- লক্ষ্যবস্তু
- লক্ষ্যমাত্রা
- প্রযুক্তি
- প্রযুক্তি শিল্প
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- সেখানে।
- এইগুলো
- তারা
- এই
- হুমকি
- হুমকি
- তিন
- দ্বারা
- সময়
- থেকে
- ট্রিগার
- টিপিক্যাল
- সাধারণত
- ছাতা
- অধীনে
- নামহীন
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- বৈধতা
- বিক্রেতা
- বিক্রেতারা
- মাধ্যমে
- দুর্বলতা
- দুর্বলতা
- প্রয়োজন
- ছিল
- we
- সপ্তাহান্তিক কাল
- ছিল
- কি
- কিনা
- যে
- বন্য
- ইচ্ছা
- সঙ্গে
- ছাড়া
- হয়া যাই ?
- would
- বছর
- এখনো
- zephyrnet
- শূন্য-দিনের দুর্বলতা