A kémprogram-gyártó az egyiptomi szervezeteket célozza meg ritka iOS-kihasználási lánccal

Egy izraeli felügyeleti szoftvergyártó cég a múlt héten nyilvánosságra hozott három Apple nulladik napi sebezhetőséget használta fel egy kihasználási lánc kifejlesztésére iPhone-ok számára, és egy Chrome nulladik napot az Androidok kihasználására – mindezt egy egyiptomi szervezetek elleni újszerű támadásban.

Egy friss jelentés szerint a Google fenyegetéselemző csoportjától (TAG), a cég – amely magát „Intellexának” nevezi - a kizsákmányoló láncon keresztül szerzett speciális hozzáférést arra használta fel, hogy a saját „Predator” spyware-jét telepítse meg nem nevezett egyiptomi célpontok ellen.

A TAG szerint a Predatort először a Cytrox fejlesztette ki, egyike azon kémprogram-fejlesztőknek, amelyek az elmúlt években az Intellexa ernyője alá kerültek. A cég ismert fenyegetés: Az Intellexa korábban telepítette a Predatort az egyiptomi állampolgárok ellen még 2021-ben.

Az Intellexa iPhone-fertőzései Egyiptomban „man-in-the-middle” (MITM) támadásokkal kezdődtek, elfogva a felhasználókat, amikor megpróbáltak elérni http-webhelyeket (a titkosított https-kérések immunisak voltak).

„A MITM injekció használata olyan képességet ad a támadónak, ahol nem kell a felhasználóra hagyatkozniuk egy tipikus művelet során, mint például egy adott hivatkozásra kattintás, egy dokumentum megnyitása stb.” – jegyzik meg a TAG kutatói e-mailben. "Ez hasonló a nulla kattintásos exploitokhoz, de anélkül, hogy sebezhetőséget kellene találni a nulla kattintásos támadási felületen."

Hozzátették: „ez egy újabb példa a kereskedelmi megfigyelő-eladók által okozott károkra és azokra a fenyegetésekre, amelyeket nem csak az egyénekre, hanem a társadalom egészére nézve jelentenek”.

3 nulla nap iOS-ben, 1 támadási lánc

A MITM gambit segítségével a felhasználókat a támadók által irányított webhelyre irányították át. Innentől kezdve, ha a behálózott felhasználó lenne a célpont – minden támadás csak meghatározott személyek ellen irányul –, akkor átirányítják őket egy második tartományba, ahol a kizsákmányolás kivált.

Az Intellexa kizsákmányoló lánca három nulladik napot tartalmazott sérülékenységeket, amelyeket kijavítottak iOS 17.0.1-től. Így követik nyomon CVE-2023 41993- — távoli kódvégrehajtási (RCE) hiba a Safariban; CVE-2023 41991- — tanúsítvány-érvényesítési kiadás, amely lehetővé teszi a PAC megkerülését; és CVE-2023 41992- — amely lehetővé teszi a jogosultságok eszkalációját az eszközmagban.

Miután mindhárom lépés befejeződött, egy kis bináris meghatározza, hogy el kell-e dobni a Predator kártevőt.

„Az iOS teljes nulladik napos kihasználási láncának megtalálása jellemzően újszerű a támadók számára jelenleg legkorszerűbb dolgok megismerésében. Minden alkalommal, amikor egy nulladik napi kizsákmányolást elkapnak a vadonban, ez a támadók kudarca – nem akarják, hogy tudjuk, milyen sebezhetőségeik vannak, és hogyan működnek a kihasználásaik” – jegyezték meg a kutatók az e-mailben. „Biztonsági és technológiai iparágként a mi dolgunk, hogy minél többet megtudjunk ezekről a kizsákmányolásokról, hogy sokkal nehezebbé tegyük egy újat létrehozni.”

Egyedülálló sebezhetőség az Androidban

Az iOS mellett az Intellexa az androidos telefonokat célozta meg MITM-en keresztül, és egyszeri linkeket küldött közvetlenül a célpontokhoz. 

Ezúttal csak egy sérülékenységre volt szükség: CVE-2023 4762-, nagyon súlyos, de a CVSS sebezhetőség-súlyossági skáláján 8.8/10. A hiba létezik a Google Chrome-ban és lehetővé teszi a támadók számára, hogy tetszőleges kódot hajtsanak végre egy gazdagépen egy speciálisan kialakított HTML-oldalon keresztül. Egy biztonsági kutató független jelentéséről és szeptember 5-i javításáról a Google TAG úgy véli, hogy az Intellexa korábban nulladik napként használta a biztonsági rést.

A Google TAG szerint a jó hír az, hogy a leletek visszaküldik a lehetséges támadókat a rajzolóasztalra. 

"A támadóknak le kell cserélniük négy nulladik napi exploitjukat, ami azt jelenti, hogy új exploitokat kell vásárolniuk vagy kifejleszteniük ahhoz, hogy fenntartsák a Predator iPhone-okra való telepítésének képességét" - írták a kutatók. "Minden alkalommal, amikor a zsákmányukat elkapják a vadonban, a támadóknak pénzbe, időbe és erőforrásokba kerül."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain