Spyware Vendor Targets Egyptian Orgs With Rare IOS Exploit Chain

Ponovno objavil Platon

Spremljevalci: 0

Izraelsko podjetje za nadzorno programsko opremo je uporabilo tri Applove ranljivosti zero-day, ki so bile razkrite prejšnji teden, za razvoj verige izkoriščanja za telefone iPhone in Chrome zero-day za izkoriščanje Androidov – vse v novem napadu na egiptovske organizacije.

Po nedavnem poročilu iz Googlove skupine za analizo groženj (TAG), podjetje - ki se imenuje "Intellexa" — je uporabil poseben dostop, ki ga je pridobil prek verige izkoriščanja, da bi namestil svojo prepoznavno vohunsko programsko opremo »Predator« proti neimenovanim tarčam v Egiptu.

Predator je prvi razvil Cytrox, eden od številnih razvijalcev vohunske programske opreme, ki so bili v zadnjih letih prevzeti pod okrilje Intellexa, poroča TAG. Podjetje je znana grožnja: Intellexa je pred tem uvedla Predator proti egiptovskim državljanom leta 2021.

Okužbe iPhona Intellexa v Egiptu so se začele z napadi človeka v sredini (MITM), ki prestrežejo uporabnike, ko so poskušali doseči spletna mesta http (šifrirane zahteve https so bile imune).

»Uporaba vbrizgavanja MITM daje napadalcu možnost, da se mu ni treba zanašati na uporabnika, da bo izvedel tipično dejanje, kot je klik na določeno povezavo, odpiranje dokumenta itd.,« ugotavljajo raziskovalci TAG po elektronski pošti. "To je podobno izkoriščanju brez klika, vendar brez iskanja ranljivosti v napadalni površini brez klika."

Dodali so, "to je še en primer škode, ki jo povzročajo komercialni prodajalci nadzora, in groženj, ki jih predstavljajo ne samo posameznikom, ampak širši družbi."

3 Zero-Days v iOS-u, 1 veriga napadov

Z uporabo MITM gambita so bili uporabniki preusmerjeni na spletno mesto, ki ga nadzoruje napadalec. Od tam, če bi bil ujeti uporabnik predvidena tarča - vsak napad je bil usmerjen samo na določene posameznike - bi bil preusmerjen na drugo domeno, kjer bi se sprožilo izkoriščanje.

Intellexina veriga izkoriščanja je vključevala tri ničelne dni ranljivosti, ki so bile popravljene od iOS 17.0.1. Sledijo se kot CVE-2023-41993 — hrošč oddaljenega izvajanja kode (RCE) v Safariju; CVE-2023-41991 — vprašanje potrjevanja potrdila, ki omogoča obvod PAC; in CVE-2023-41992 — ki omogoča stopnjevanje privilegijev v jedru naprave.

Ko so vsi trije koraki zaključeni, bi majhna binarna datoteka določila, ali naj zlonamerno programsko opremo Predator izpusti.

»Ugotovitev celotne verige izkoriščanja ničelnega dne za iOS je običajno novost pri učenju, kaj je trenutno vrhunsko za napadalce. Vsakič, ko je zero-day podvig ujet v divjini, je to primer neuspeha za napadalce – nočejo, da vemo, katere ranljivosti imajo in kako njihova podviga delujejo,« so raziskovalci zapisali v elektronskem sporočilu. "Kot varnostna in tehnološka industrija je naša naloga, da se čim več naučimo o teh podvigih, da jim otežimo ustvarjanje novega."

Edinstvena ranljivost v sistemu Android

Poleg iOS-a je Intellexa ciljala na telefone Android prek MITM in enkratnih povezav, poslanih neposredno tarčam.

Tokrat je bila potrebna le ena ranljivost: CVE-2023-4762, zelo resen, vendar z oceno 8.8 od 10 na lestvici resnosti ranljivosti CVSS. Napaka obstaja v brskalniku Google Chrome in napadalcem omogoča izvajanje poljubne kode na gostiteljskem računalniku prek posebej oblikovane strani HTML. Neodvisno poroča varnostni raziskovalec in je bil popravljen 5. septembra, Google TAG verjame, da je Intellexa prej uporabljala ranljivost kot ničelni dan.

Dobra novica je, da bodo ugotovitve poslale morebitne napadalce nazaj na risalno desko, glede na Google TAG.

"Napadalci bodo morali zdaj zamenjati štiri svoje zero-day podvige, kar pomeni, da morajo kupiti ali razviti nove podvige, da ohranijo svojo sposobnost namestitve Predatorja na iPhone," so raziskovalci sporočili po elektronski pošti. "Vsakič, ko so njihovi podvigi ujeti v divjini, to napadalce stane denarja, časa in sredstev."