Израильская компания по производству программного обеспечения для наблюдения использовала три уязвимости нулевого дня Apple, раскрытые на прошлой неделе, для разработки цепочки эксплойтов для iPhone, а также уязвимость нулевого дня Chrome для эксплуатации Android — и все это в новой атаке на египетские организации.
Согласно недавнему отчету от группы анализа угроз Google (TAG), компания, которая называет себя «Intellexa» — использовала специальный доступ, полученный через цепочку эксплойтов, для установки фирменного шпионского ПО «Хищник» против неназванных целей в Египте.
По данным TAG, Predator был впервые разработан Cytrox, одним из многих разработчиков шпионского ПО, которые в последние годы были поглощены Intellexa. Компания представляет собой известную угрозу: Intellexa ранее развернула Predator против граждан Египта еще в 2021 году.
Заражение iPhone компанией Intellexa в Египте началось с атак типа «человек посередине» (MITM), перехватывающих пользователей при попытке доступа к http-сайтам (зашифрованные https-запросы были невосприимчивы).
«Использование MITM-инъекции дает злоумышленнику возможность не полагаться на то, что пользователь выполнит типичные действия, такие как нажатие определенной ссылки, открытие документа и т. д.», — отмечают исследователи TAG по электронной почте. «Это похоже на эксплойты с нулевым щелчком мыши, но без необходимости искать уязвимость в поверхности атаки с нулевым щелчком мыши».
Они добавили: «Это еще один пример вреда, причиняемого коммерческими поставщиками средств наблюдения, и угроз, которые они представляют не только для отдельных лиц, но и для общества в целом».
3 нулевых дня в iOS, 1 цепочка атак
Используя гамбит MITM, пользователи были перенаправлены на сайт, контролируемый злоумышленниками. Далее, если целевой целью был пойманный пользователь (каждая атака была нацелена только на конкретных лиц), он был бы перенаправлен на второй домен, где и сработал бы эксплойт.
Цепочка эксплойтов Intellexa включала три атаки нулевого дня. уязвимости, которые были исправлены начиная с iOS 17.0.1. Они отслеживаются как CVE-2023-41993 — ошибка удаленного выполнения кода (RCE) в Safari; CVE-2023-41991 — проблема проверки сертификата, позволяющая обойти PAC; и CVE-2023-41992 — который позволяет повысить привилегии в ядре устройства.
После того, как все три шага были выполнены, небольшой двоичный файл определял, следует ли удалять вредоносное ПО Predator.
«Обнаружение полной цепочки эксплойтов нулевого дня для iOS, как правило, является новым в изучении того, что в настоящее время является передовым для злоумышленников. Каждый раз, когда эксплойт нулевого дня обнаруживается в открытом доступе, это означает неудачу для злоумышленников — они не хотят, чтобы мы знали, какие у них есть уязвимости и как работают их эксплойты», — отметили исследователи в электронном письме. «Как индустрия безопасности и технологий, наша задача — узнать как можно больше об этих эксплойтах, чтобы им было намного сложнее создать новый».
Уникальная уязвимость в Android
Помимо iOS, Intellexa нацелена на телефоны Android через MITM и одноразовые ссылки, отправляемые непосредственно целевым объектам.
На этот раз понадобилась всего одна уязвимость: CVE-2023-4762, высокая степень серьезности, но рейтинг 8.8 из 10 по шкале уязвимости-серьезности CVSS. Недостаток существует в Google Chrome и позволяет злоумышленникам выполнять произвольный код на хост-компьютере через специально созданную HTML-страницу. По независимому отчету исследователя безопасности и исправлению по состоянию на 5 сентября, Google TAG полагает, что Intellexa ранее использовала эту уязвимость как уязвимость нулевого дня.
По данным Google TAG, хорошая новость заключается в том, что полученные результаты заставят потенциальных злоумышленников вернуться к чертежной доске.
«Теперь злоумышленникам придется заменить четыре своих эксплойта нулевого дня, а это означает, что им придется покупать или разрабатывать новые эксплойты, чтобы сохранить возможность установки Predator на iPhone», — написали исследователи по электронной почте. «Каждый раз, когда их эксплойты обнаруживаются, злоумышленникам это стоит денег, времени и ресурсов».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain
- :является
- :нет
- :куда
- 1
- 10
- 17
- 2021
- 8
- a
- способность
- О нас
- доступ
- По
- Действие
- добавленный
- дополнение
- против
- Нацеленный
- Все
- Позволяющий
- an
- анализ
- и
- android
- Другой
- Apple
- МЫ
- AS
- At
- атаковать
- нападки
- попытка
- назад
- BE
- было
- начал
- не являетесь
- считает,
- доска
- Ошибка
- но
- купить
- by
- Объявления
- CAN
- возможности
- случаев
- пойманный
- вызванный
- сертификат
- цепь
- Chrome
- Граждане
- код
- коммерческая
- Компания
- полный
- Расходы
- проработаны
- Создайте
- В настоящее время
- резки
- развернуть
- Определять
- развивать
- развитый
- застройщиков
- устройство
- непосредственно
- документ
- домен
- Дон
- рисование
- Падение
- каждый
- Edge
- Египет
- позволяет
- зашифрованный
- эскалация
- и т.д
- Эфир (ETH)
- пример
- выполнять
- выполнение
- Эксплуатировать
- использует
- Ошибка
- Найдите
- обнаружение
- результаты
- First
- недостаток
- Что касается
- 4
- от
- полный
- получила
- Гамбит
- дает
- хорошо
- группы
- было
- Сильнее
- доказательств вреда
- Есть
- имеющий
- кашель
- Как
- HTML
- HTTP
- HTTPS
- if
- иммунный
- in
- самостоятельно
- лиц
- промышленность
- Инфекции
- устанавливать
- предназначенных
- вовлеченный
- iOS
- iPhone
- израильтянин
- вопрос
- IT
- ЕГО
- саму трезвость
- работа
- JPG
- Знать
- известный
- большой
- Фамилия
- УЧИТЬСЯ
- изучение
- такое как
- LINK
- связи
- машина
- поддерживать
- сделать
- вредоносных программ
- означает
- MITM
- деньги
- много
- необходимый
- Новые
- Новости
- NIST
- в своих размышлениях
- отметил,
- роман
- сейчас
- номер
- of
- on
- ONE
- только
- открытие
- or
- организации
- наши
- внешний
- страница
- телефоны
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- хищник
- предварительно
- привилегия
- РЕДКИЙ
- достигать
- последний
- полагаться
- удаленные
- замещать
- Сообщается
- Запросы
- исследователь
- исследователи
- Полезные ресурсы
- s
- Safari
- Шкала
- Во-вторых
- безопасность
- Отправить
- послать
- Семь
- аналогичный
- единственное число
- сайте
- Сайтов
- небольшой
- Общество
- особый
- специально
- конкретный
- шпионских программ
- Шаги
- Поверхность
- наблюдение
- T
- TAG
- взять
- цель
- целевое
- направлена против
- технологии
- техническая промышленность
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- этой
- угроза
- угрозы
- три
- Через
- время
- в
- вызвать
- типичный
- типично
- зонтик
- под
- UNNAMED
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- Проверка
- продавец
- поставщики
- с помощью
- Уязвимости
- уязвимость
- хотеть
- законопроект
- we
- неделя
- были
- Что
- будь то
- который
- Дикий
- будете
- без
- Работа
- бы
- лет
- еще
- зефирнет
- уязвимости нулевого дня
