Spyware-Anbieter nimmt ägyptische Organisationen mit seltener iOS-Exploit-Kette ins Visier

Ein israelisches Unternehmen für Überwachungssoftware nutzte die drei letzte Woche offengelegten Zero-Day-Schwachstellen von Apple, um eine Exploit-Kette für iPhones und einen Chrome-Zero-Day zur Ausnutzung von Android-Geräten zu entwickeln – alles in einem neuartigen Angriff auf ägyptische Organisationen.

Laut einem aktuellen Bericht von Googles Threat Analysis Group (TAG), das Unternehmen – das sich „Intellexa“ nennt – nutzte den besonderen Zugang, den es durch die Exploit-Kette erhielt, um seine charakteristische „Predator“-Spyware gegen namenlose Ziele in Ägypten zu installieren.

Laut TAG wurde Predator erstmals von Cytrox entwickelt, einem von mehreren Spyware-Entwicklern, die in den letzten Jahren unter dem Dach von Intellexa zusammengefasst wurden. Das Unternehmen ist eine bekannte Bedrohung: Intellexa hatte zuvor Predator eingesetzt gegen ägyptische Bürger im Jahr 2021.

Die iPhone-Infektionen von Intellexa in Ägypten begannen mit Man-in-the-Middle-Angriffen (MITM), bei denen Benutzer abgefangen wurden, als sie versuchten, HTTP-Sites zu erreichen (verschlüsselte HTTPS-Anfragen waren immun).

„Der Einsatz der MITM-Injection gibt dem Angreifer die Möglichkeit, sich nicht darauf verlassen zu müssen, dass der Benutzer eine typische Aktion wie das Klicken auf einen bestimmten Link, das Öffnen eines Dokuments usw. ausführt“, stellen TAG-Forscher per E-Mail fest. „Dies ähnelt Zero-Click-Exploits, jedoch ohne dass eine Schwachstelle in einer Zero-Click-Angriffsoberfläche gefunden werden muss.“

Sie fügten hinzu: „Dies ist ein weiteres Beispiel für den Schaden, den kommerzielle Überwachungsanbieter anrichten, und für die Bedrohung, die sie nicht nur für Einzelpersonen, sondern für die Gesellschaft insgesamt darstellen.“

3 Zero-Days in iOS, 1 Angriffskette

Mithilfe des MITM-Gambits wurden Benutzer auf eine vom Angreifer kontrollierte Website umgeleitet. Wenn der betroffene Benutzer das beabsichtigte Ziel war – jeder Angriff richtete sich nur gegen bestimmte Personen –, wurde er von dort zu einer zweiten Domäne umgeleitet, wo der Exploit ausgelöst wurde.

Die Exploit-Kette von Intellexa umfasste drei Zero-Day-Angriffe Schwachstellen, die behoben wurden ab iOS 17.0.1. Sie werden als verfolgt CVE-2023-41993 – ein RCE-Fehler (Remote Code Execution) in Safari; CVE-2023-41991 – ein Problem bei der Zertifikatsvalidierung, das eine PAC-Umgehung ermöglicht; Und CVE-2023-41992 – was eine Rechteausweitung im Gerätekernel ermöglicht.

Nachdem alle drei Schritte abgeschlossen waren, würde eine kleine Binärdatei bestimmen, ob die Predator-Malware gelöscht werden soll.

„Die Entdeckung einer vollständigen Zero-Day-Exploit-Kette für iOS ist in der Regel neu, wenn es darum geht, herauszufinden, was für Angreifer derzeit auf dem neuesten Stand ist. „Jedes Mal, wenn ein Zero-Day-Exploit in freier Wildbahn entdeckt wird, ist das ein Fehlerfall für Angreifer – sie wollen nicht, dass wir wissen, welche Schwachstellen sie haben und wie ihre Exploits funktionieren“, so die Forscher in der E-Mail. „Als Sicherheits- und Technologiebranche ist es unsere Aufgabe, so viel wie möglich über diese Exploits zu erfahren, um es für sie noch schwieriger zu machen, einen neuen Exploit zu erstellen.“

Eine einzigartige Sicherheitslücke in Android

Zusätzlich zu iOS zielte Intellexa über MITM und einmalige Links, die direkt an die Ziele gesendet wurden, auf Android-Telefone ab. 

Diesmal war nur eine Schwachstelle nötig: CVE-2023-4762, hoher Schweregrad, aber Bewertung 8.8 von 10 auf der CVSS-Schweregradskala. Der Fehler existiert in Google Chrome und ermöglicht es Angreifern, über eine speziell gestaltete HTML-Seite beliebigen Code auf einem Host-Computer auszuführen. Wie von einem Sicherheitsforscher unabhängig berichtet und am 5. September gepatcht wurde, geht Google TAG davon aus, dass Intellexa die Schwachstelle zuvor als Zero-Day genutzt hat.

Die gute Nachricht ist, dass die Ergebnisse potenzielle Angreifer laut Google TAG zurück ans Reißbrett schicken werden. 

„Die Angreifer müssen nun vier ihrer Zero-Day-Exploits ersetzen, was bedeutet, dass sie neue Exploits kaufen oder entwickeln müssen, um weiterhin in der Lage zu sein, Predator auf iPhones zu installieren“, schrieben die Forscher per E-Mail. „Jedes Mal, wenn ihre Exploits entdeckt werden, kostet es die Angreifer Geld, Zeit und Ressourcen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain