ผู้จำหน่ายสปายแวร์มุ่งเป้าไปที่องค์กรในอียิปต์ด้วยเครือข่ายการหาประโยชน์จาก iOS ที่หายาก

บริษัทเฝ้าระวังภัยของอิสราเอลใช้ช่องโหว่ Zero-day ของ Apple ทั้งสามรายการที่เปิดเผยเมื่อสัปดาห์ที่แล้วเพื่อพัฒนาเครือข่ายช่องโหว่สำหรับ iPhone และ Chrome Zero-day เพื่อใช้ประโยชน์จาก Android ทั้งหมดนี้ถือเป็นการโจมตีครั้งใหม่ต่อองค์กรในอียิปต์

ตามรายงานล่าสุด จากกลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google บริษัท — ซึ่งเรียกตัวเองว่า “Intellexa” — ใช้การเข้าถึงแบบพิเศษที่ได้รับผ่านห่วงโซ่ช่องโหว่เพื่อติดตั้งสปายแวร์ “Predator” อันเป็นเอกลักษณ์กับเป้าหมายที่ไม่มีชื่อในอียิปต์

Predator ได้รับการพัฒนาครั้งแรกโดย Cytrox ซึ่งเป็นหนึ่งในนักพัฒนาสปายแวร์จำนวนหนึ่งที่ถูกดูดซึมภายใต้ Intellexa ในช่วงไม่กี่ปีที่ผ่านมา ตามข้อมูลของ TAG บริษัทเป็นภัยคุกคามที่ทราบกันดี: Intellexa เคยใช้งาน Predator มาก่อน กับพลเมืองอียิปต์ย้อนกลับไปในปี 2021

การติดไวรัส iPhone ของ Intellexa ในอียิปต์เริ่มต้นด้วยการโจมตีแบบแทรกกลางการสื่อสาร (MITM) โดยดักผู้ใช้ขณะที่พวกเขาพยายามเข้าถึงไซต์ http (คำขอ https ที่เข้ารหัสนั้นไม่ได้รับการยกเว้น)

“การใช้การแทรก MITM ช่วยให้ผู้โจมตีมีขีดความสามารถโดยไม่จำเป็นต้องพึ่งพาผู้ใช้ในการดำเนินการทั่วไป เช่น การคลิกลิงก์เฉพาะ เปิดเอกสาร ฯลฯ” นักวิจัยของ TAG ระบุผ่านทางอีเมล “สิ่งนี้คล้ายกับการหาช่องโหว่แบบคลิกเป็นศูนย์ แต่ไม่ต้องค้นหาช่องโหว่บนพื้นผิวการโจมตีแบบคลิกเป็นศูนย์”

พวกเขากล่าวเสริมว่า “นี่เป็นอีกตัวอย่างหนึ่งของอันตรายที่เกิดจากผู้ให้บริการสอดแนมเชิงพาณิชย์ และภัยคุกคามที่พวกเขาไม่เพียงแต่เกิดขึ้นกับบุคคลเท่านั้น แต่ยังรวมถึงสังคมโดยรวมด้วย”

3 Zero-Days ใน iOS, 1 Attack Chain

เมื่อใช้กลเม็ด MITM ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังไซต์ที่ควบคุมโดยผู้โจมตี จากนั้น หากผู้ใช้ที่ติดอยู่เป็นเป้าหมาย — การโจมตีแต่ละครั้งมุ่งเป้าไปที่บุคคลใดบุคคลหนึ่งเท่านั้น — พวกเขาจะถูกเปลี่ยนเส้นทางไปยังโดเมนที่สอง ซึ่งการโจมตีจะเกิดขึ้น

ห่วงโซ่การหาประโยชน์ของ Intellexa เกี่ยวข้องกับซีโรเดย์สามวัน ช่องโหว่ซึ่งได้รับการแพตช์แล้ว ตั้งแต่ iOS 17.0.1 พวกเขากำลังติดตามเป็น CVE-2023-41993 — ข้อผิดพลาดการเรียกใช้โค้ดระยะไกล (RCE) ใน Safari CVE-2023-41991 — ปัญหาการตรวจสอบใบรับรองที่อนุญาตให้เลี่ยง PAC และ CVE-2023-41992 — ซึ่งเปิดใช้งานการยกระดับสิทธิ์ในเคอร์เนลของอุปกรณ์

หลังจากทั้งสามขั้นตอนเสร็จสิ้นแล้ว ไบนารีขนาดเล็กจะพิจารณาว่าจะทิ้งมัลแวร์ Predator หรือไม่

“การค้นพบช่องโหว่แบบ Zero-day เต็มรูปแบบสำหรับ iOS โดยทั่วไปแล้วเป็นเรื่องใหม่ในการเรียนรู้ว่าอะไรคือสิ่งที่ล้ำหน้าสำหรับผู้โจมตีในปัจจุบัน แต่ละครั้งที่มีการตรวจพบช่องโหว่แบบ Zero-day ในป่า มันเป็นกรณีความล้มเหลวสำหรับผู้โจมตี พวกเขาไม่ต้องการให้เราทราบว่าพวกเขามีช่องโหว่อะไรบ้างและช่องโหว่ของพวกเขาทำงานอย่างไร” นักวิจัยระบุไว้ในอีเมล “ในฐานะอุตสาหกรรมด้านความปลอดภัยและเทคโนโลยี มันเป็นหน้าที่ของเราที่จะต้องเรียนรู้ให้มากที่สุดเกี่ยวกับช่องโหว่เหล่านี้ เพื่อให้พวกเขาสร้างช่องโหว่ใหม่ได้ยากขึ้นมาก”

ช่องโหว่เดียวใน Android

นอกเหนือจาก iOS แล้ว Intellexa ยังกำหนดเป้าหมายโทรศัพท์ Android ผ่าน MITM และลิงก์แบบครั้งเดียวที่ส่งไปยังเป้าหมายโดยตรง 

ครั้งนี้จำเป็นต้องมีช่องโหว่เดียวเท่านั้น: CVE-2023-4762มีความรุนแรงสูง แต่ให้คะแนน 8.8 เต็ม 10 ในระดับช่องโหว่-ความรุนแรง CVSS ข้อบกพร่อง มีอยู่ใน Google Chrome และช่วยให้ผู้โจมตีสามารถรันโค้ดบนเครื่องโฮสต์โดยอำเภอใจผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ รายงานโดยอิสระโดยนักวิจัยด้านความปลอดภัยและได้รับการติดตั้ง ณ วันที่ 5 กันยายน Google TAG เชื่อว่า Intellexa ก่อนหน้านี้ใช้ช่องโหว่ดังกล่าวเป็นศูนย์วัน

ข่าวดีก็คือการค้นพบนี้จะส่งผู้โจมตีกลับไปยังกระดานวาดภาพตาม Google TAG 

“ตอนนี้ผู้โจมตีจะต้องแทนที่ช่องโหว่แบบ Zero-day สี่รายการ ซึ่งหมายความว่าพวกเขาจะต้องซื้อหรือพัฒนาช่องโหว่ใหม่เพื่อรักษาความสามารถในการติดตั้ง Predator บน iPhone” นักวิจัยส่งอีเมล “ทุกครั้งที่การโจมตีของพวกเขาถูกพบในป่า ผู้โจมตีจะต้องเสียเงิน เวลา และทรัพยากร”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain