Spionvareleverandøren retter seg mot egyptiske organisasjoner med en sjelden iOS-utnyttelseskjede

Spionvareleverandøren retter seg mot egyptiske organisasjoner med en sjelden iOS-utnyttelseskjede

Tidsstempel: 29. september 2023 2:43
Kilde node: 2911021

Et israelsk overvåkingsselskap brukte de tre Apple-nulldagssårbarhetene som ble avslørt forrige uke for å utvikle en utnyttelseskjede for iPhones, og en Chrome-nulldag for å utnytte Android-er – alt i et nytt angrep på egyptiske organisasjoner.

I følge en fersk rapport fra Googles Threat Analysis Group (TAG), selskapet - som kaller seg "Intellexa" — brukte den spesielle tilgangen den fikk gjennom utnyttelseskjeden til å installere sin signatur "Predator"-spyware mot navngitte mål i Egypt.

Predator ble først utviklet av Cytrox, en av en rekke spionvareutviklere som har blitt absorbert under paraplyen til Intellexa de siste årene, ifølge TAG. Selskapet er en kjent trussel: Intellexa hadde tidligere distribuert Predator mot egyptiske statsborgere tilbake i 2021.

Intellexas iPhone-infeksjoner i Egypt begynte med man-in-the-middle (MITM)-angrep, og fanget opp brukere da de forsøkte å nå http-nettsteder (krypterte https-forespørsler var immune).

"Bruken av MITM-injeksjon gir angriperen en mulighet der de ikke trenger å stole på at brukeren utfører en typisk handling som å klikke på en spesifikk lenke, åpne et dokument osv.," bemerker TAG-forskere via e-post. "Dette ligner på null-klikk-utnyttelser, men uten å måtte finne en sårbarhet i en null-klikk angrepsoverflate."

De la til, "dette er nok et eksempel på skader forårsaket av kommersielle overvåkingsleverandører og truslene de utgjør ikke bare for enkeltpersoner, men samfunnet for øvrig."

3 Zero-Days i iOS, 1 angrepskjede

Ved å bruke MITM-gambiten ble brukere omdirigert til et angriperkontrollert nettsted. Derfra, hvis den fangede brukeren var det tiltenkte målet – hvert angrep kun rettet mot bestemte individer – ville de bli omdirigert til et andre domene, hvor utnyttelsen ville utløses.

Intellexas utnyttelseskjede involverte tre nulldager sårbarheter, som har blitt rettet fra iOS 17.0.1. De spores som CVE-2023-41993 — en RCE-feil (Remote Code execution) i Safari; CVE-2023-41991 — et sertifikatvalideringsproblem som tillater PAC-bypass; og CVE-2023-41992 - som muliggjør rettighetseskalering i enhetskjernen.

Etter at alle tre trinnene var fullført, ville en liten binær avgjørelse om å droppe Predator malware.

"Funnet av en full null-dagers utnyttelseskjede for iOS er vanligvis nytt når det gjelder å lære hva som er i forkant for angripere. Hver gang en null-dagers utnyttelse blir fanget i naturen, er det feilsaken for angripere – de vil ikke at vi skal vite hvilke sårbarheter de har og hvordan deres utnyttelser fungerer,» bemerket forskerne i e-posten. "Som en sikkerhets- og teknologibransje er det vår jobb å lære så mye vi kan om disse utnyttelsene for å gjøre det så mye vanskeligere for dem å lage en ny."

En enkelt sårbarhet i Android

I tillegg til iOS målrettet Intellexa Android-telefoner via MITM og engangslenker sendt direkte til mål. 

Denne gangen var det bare nødvendig med én sårbarhet: CVE-2023-4762, høy alvorlighetsgrad, men rangering 8.8 av 10 på CVSS sårbarhet-alvorlighetsskala. Feilen finnes i Google Chrome og gjør det mulig for angripere å kjøre vilkårlig kode på en vertsmaskin via en spesiallaget HTML-side. Uavhengig rapportert av en sikkerhetsforsker og oppdatering fra 5. september, mener Google TAG at Intellexa tidligere brukte sikkerhetsproblemet som en nulldag.

Den gode nyheten er at funnene vil sende angripere tilbake til tegnebrettet, ifølge Google TAG. 

"Angriperne må nå erstatte fire av sine null-dagers utnyttelser, noe som betyr at de må kjøpe eller utvikle nye utnyttelser for å opprettholde deres evne til å installere Predator på iPhones," sendte forskerne på e-post. "Hver gang deres bedrifter blir fanget i naturen, koster det angripere penger, tid og ressurser."

Tidstempel:

Mer fra Mørk lesning