Spionprogramleverantör riktar sig till egyptiska organisationer med sällsynt IOS-exploateringskedja

Återutgiven av Platon

anhängare: 0

Ett israeliskt övervakningsprogram använde de tre Apples nolldagarssårbarheter som avslöjades förra veckan för att utveckla en exploateringskedja för iPhones och en Chrome nolldag för att utnyttja Androids – allt i en ny attack mot egyptiska organisationer.

Enligt en färsk rapport från Googles Threat Analysis Group (TAG), företaget - som kallar sig "Intellexa" — använde den speciella åtkomst den fick genom exploateringskedjan för att installera sitt signaturspionprogram "Predator" mot icke namngivna mål i Egypten.

Predator utvecklades först av Cytrox, en av ett antal spionprogramutvecklare som har absorberats under Intellexas paraply de senaste åren, enligt TAG. Företaget är ett känt hot: Intellexa hade tidigare distribuerat Predator mot egyptiska medborgare redan 2021.

Intellexas iPhone-infektioner i Egypten började med man-in-the-middle (MITM)-attacker, som avlyssnade användare när de försökte nå http-sajter (krypterade https-förfrågningar var immuna).

"Användningen av MITM-injektion ger angriparen en förmåga där de inte behöver förlita sig på att användaren ska utföra en typisk åtgärd som att klicka på en specifik länk, öppna ett dokument, etc.", noterar TAG-forskare via e-post. "Detta liknar nollklick, men utan att behöva hitta en sårbarhet i en nollklicksattackyta."

De tillade, "det här är ännu ett exempel på de skador som orsakas av kommersiella övervakningsleverantörer och de hot de utgör inte bara mot individer utan samhället i stort."

3 Zero-Days i iOS, 1 attackkedja

Med hjälp av MITM-gambiten omdirigerades användare till en angriparkontrollerad webbplats. Därifrån, om den snärjda användaren var det avsedda målet – varje attack är endast riktad mot specifika individer – skulle de omdirigeras till en andra domän, där utnyttjandet skulle utlösas.

Intellexas exploateringskedja involverade tre nolldagar sårbarheter, som har åtgärdats från och med iOS 17.0.1. De spåras som CVE-2023-41993 — en RCE-bugg (Remote Code Execution) i Safari; CVE-2023-41991 — Ett certifikatvalideringsproblem som tillåter PAC-bypass. och CVE-2023-41992 — som möjliggör privilegieskalering i enhetskärnan.

Efter att alla tre stegen var klara, skulle en liten binär avgöra om Predator skadliga program ska släppas.

"Fyndet av en fullständig nolldagars exploateringskedja för iOS är typiskt nytt när det gäller att lära sig vad som för närvarande är i framkant för angripare. Varje gång en nolldagars exploatering fångas i naturen, är det felfallet för angripare – de vill inte att vi ska veta vilka sårbarheter de har och hur deras utnyttjande fungerar”, noterade forskarna i mejlet. "Som säkerhets- och teknikindustri är det vår uppgift att lära oss så mycket vi kan om dessa bedrifter för att göra det så mycket svårare för dem att skapa en ny."

En singulär sårbarhet i Android

Förutom iOS riktade Intellexa Android-telefoner via MITM och engångslänkar skickade direkt till mål.

Den här gången behövdes bara en sårbarhet: CVE-2023-4762, hög svårighetsgrad men betyg 8.8 av 10 på CVSS sårbarhet-allvarlighetsskalan. Felet finns i Google Chrome och gör det möjligt för angripare att exekvera godtycklig kod på en värddator via en specialgjord HTML-sida. Oberoende rapporterad av en säkerhetsforskare och patchad den 5 september, tror Google TAG att Intellexa tidigare använde sårbarheten som en nolldag.

Den goda nyheten är att fynden kommer att skicka blivande angripare tillbaka till ritbordet, enligt Google TAG.

"Angriparna kommer nu att behöva ersätta fyra av sina zero-day exploits, vilket innebär att de måste köpa eller utveckla nya bedrifter för att behålla sin förmåga att installera Predator på iPhones," mailade forskarna. "Varje gång deras bedrifter fångas i naturen kostar det angripare pengar, tid och resurser."