Una società israeliana di software di sorveglianza ha utilizzato le tre vulnerabilità zero-day di Apple rivelate la scorsa settimana per sviluppare una catena di exploit per gli iPhone e una vulnerabilità zero-day di Chrome per sfruttare gli Android, il tutto in un nuovo attacco contro organizzazioni egiziane.
Secondo un recente rapporto dal Threat Analysis Group (TAG) di Google, l’azienda – che si fa chiamare “Intellexa” - ha utilizzato l'accesso speciale ottenuto attraverso la catena di exploit per installare il suo caratteristico spyware "Predator" contro obiettivi senza nome in Egitto.
Secondo TAG, Predator è stato inizialmente sviluppato da Cytrox, uno dei numerosi sviluppatori di spyware che sono stati assorbiti sotto l'egida di Intellexa negli ultimi anni. L'azienda è una minaccia nota: Intellexa aveva precedentemente schierato Predator contro i cittadini egiziani nel 2021.
Le infezioni dell'iPhone di Intellexa in Egitto sono iniziate con attacchi man-in-the-middle (MITM), che intercettavano gli utenti mentre tentavano di raggiungere siti http (le richieste https crittografate erano immuni).
"L'uso dell'iniezione MITM offre all'aggressore la possibilità di non dover fare affidamento sull'utente per eseguire un'azione tipica come fare clic su un collegamento specifico, aprire un documento, ecc.", notano i ricercatori TAG via e-mail. "Questo è simile agli exploit zero-click, ma senza dover trovare una vulnerabilità in una superficie di attacco zero-click."
Hanno aggiunto: “questo è ancora un altro esempio dei danni causati dai fornitori di sistemi di sorveglianza commerciale e delle minacce che rappresentano non solo per gli individui, ma per la società in generale”.
3 Zero-Day in iOS, 1 catena di attacchi
Utilizzando la mossa MITM, gli utenti venivano reindirizzati a un sito controllato dagli aggressori. Da lì, se l’utente intrappolato fosse l’obiettivo previsto – ogni attacco mirato solo a individui specifici – verrebbe reindirizzato a un secondo dominio, dove si attiverebbe l’exploit.
La catena di exploit di Intellexa prevedeva tre attacchi zero-day vulnerabilità, che sono state corrette a partire da iOS 17.0.1. Sono tracciati come CVE-2023-41993 — un bug di esecuzione del codice remoto (RCE) in Safari; CVE-2023-41991 — un'emissione di convalida del certificato che consenta il bypass del PAC; E CVE-2023-41992 — che consente l'escalation dei privilegi nel kernel del dispositivo.
Una volta completati tutti e tre i passaggi, un piccolo codice binario determinerà se eliminare il malware Predator.
“La scoperta di un'intera catena di exploit zero-day per iOS è in genere una novità per comprendere ciò che è attualmente all'avanguardia per gli aggressori. Ogni volta che un exploit zero-day viene scoperto, è un caso di fallimento per gli aggressori: non vogliono che sappiamo quali vulnerabilità hanno e come funzionano i loro exploit", hanno osservato i ricercatori nell'e-mail. "Come settore della sicurezza e della tecnologia, è nostro compito imparare quanto più possibile su questi exploit per rendere molto più difficile per loro crearne uno nuovo."
Una singolare vulnerabilità in Android
Oltre a iOS, Intellexa ha preso di mira i telefoni Android tramite MITM e collegamenti singoli inviati direttamente ai target.
Questa volta era necessaria una sola vulnerabilità: CVE-2023-4762, gravità elevata ma valutazione 8.8 su 10 sulla scala di gravità della vulnerabilità CVSS. Il difetto esiste in Google Chrome e consente agli aggressori di eseguire codice arbitrario su una macchina host tramite una pagina HTML appositamente predisposta. Segnalato in modo indipendente da un ricercatore di sicurezza e patchato il 5 settembre, Google TAG ritiene che Intellexa utilizzasse in precedenza la vulnerabilità come zero-day.
La buona notizia è che i risultati riporteranno i potenziali aggressori al tavolo da disegno, secondo Google TAG.
"Gli aggressori dovranno ora sostituire quattro dei loro exploit zero-day, il che significa che dovranno acquistare o sviluppare nuovi exploit per mantenere la possibilità di installare Predator sugli iPhone", hanno scritto i ricercatori via email. “Ogni volta che i loro exploit vengono scoperti, gli aggressori costano denaro, tempo e risorse”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain
- :È
- :non
- :Dove
- 1
- 10
- 17
- 2021
- 8
- a
- capacità
- Chi siamo
- accesso
- Secondo
- Action
- aggiunto
- aggiunta
- contro
- Mirato
- Tutti
- Consentire
- an
- .
- ed
- androide
- Un altro
- Apple
- SONO
- AS
- At
- attacco
- attacchi
- tentato
- precedente
- BE
- stato
- ha iniziato
- essendo
- crede
- tavola
- Insetto
- ma
- Acquistare
- by
- Bandi
- Materiale
- capacità
- Custodie
- catturati
- ha causato
- a livello internazionale
- catena
- Chrome
- cittadini
- codice
- azienda
- completamento di una
- Costi
- artigianale
- creare
- Attualmente
- taglio
- schierato
- Determinare
- sviluppare
- sviluppato
- sviluppatori
- dispositivo
- direttamente
- documento
- dominio
- don
- disegno
- Cadere
- ogni
- bordo
- Egitto
- Abilita
- crittografato
- intensificazione
- eccetera
- Etere (ETH)
- esempio
- eseguire
- esecuzione
- Sfruttare
- gesta
- Fallimento
- Trovare
- ricerca
- I risultati
- Nome
- difetto
- Nel
- quattro
- da
- pieno
- guadagnato
- Gambetto
- dà
- buono
- Gruppo
- ha avuto
- Più forte
- Harms
- Avere
- avendo
- host
- Come
- HTML
- http
- HTTPS
- if
- immune
- in
- indipendentemente
- individui
- industria
- infezioni
- install
- destinato
- coinvolto
- iOS
- iPhone
- israeliano
- problema
- IT
- SUO
- stessa
- Lavoro
- jpg
- Sapere
- conosciuto
- grandi
- Cognome
- IMPARARE
- apprendimento
- piace
- LINK
- Collegamento
- macchina
- mantenere
- make
- il malware
- si intende
- MITM
- soldi
- molti
- di applicazione
- New
- notizie
- nista
- Nota
- noto
- romanzo
- adesso
- numero
- of
- on
- ONE
- esclusivamente
- apertura
- or
- organizzazioni
- nostro
- su
- pagina
- telefoni
- Platone
- Platone Data Intelligence
- PlatoneDati
- predatore
- in precedenza
- privilegio
- RARO
- raggiungere
- recente
- fare affidamento
- a distanza
- sostituire
- Segnalati
- richieste
- ricercatore
- ricercatori
- Risorse
- s
- Safari
- Scala
- Secondo
- problemi di
- inviare
- inviato
- Settembre
- simile
- singolare
- site
- Siti
- piccole
- Società
- la nostra speciale
- appositamente
- specifico
- spyware
- Passi
- superficie
- sorveglianza
- T
- TAG
- Fai
- Target
- mirata
- obiettivi
- Tech
- industria tecnologica
- che
- I
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- minaccia
- minacce
- tre
- Attraverso
- tempo
- a
- innescare
- tipico
- tipicamente
- ombrello
- per
- SENZA NOME
- us
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- convalida
- venditore
- fornitori
- via
- vulnerabilità
- vulnerabilità
- volere
- Prima
- we
- settimana
- sono stati
- Che
- se
- quale
- Selvaggio
- volere
- con
- senza
- Lavora
- sarebbe
- anni
- ancora
- zefiro
- vulnerabilità zero-day
