Casus Yazılım Satıcısı Nadir iOS İstismar Zinciriyle Mısırlı Kuruluşları Hedefliyor

İsrailli bir gözetim yazılımı şirketi, iPhone'lar için bir istismar zinciri geliştirmek amacıyla Apple'ın geçen hafta açıklanan üç sıfır gün güvenlik açığını ve Android'leri istismar etmek için Chrome sıfır gün güvenlik açığını Mısırlı kuruluşlara yönelik yeni bir saldırıda kullandı.

Yakın tarihli bir rapora göre Google'ın Tehdit Analiz Grubu'ndan (TAG), kendisine “Intellexa” adını veren şirket - Mısır'daki isimsiz hedeflere karşı kendi imzası olan "Predator" casus yazılımını yüklemek için istismar zinciri aracılığıyla elde ettiği özel erişimi kullandı.

TAG'a göre Predator ilk olarak son yıllarda Intellexa çatısı altına giren bir dizi casus yazılım geliştiricisinden biri olan Cytrox tarafından geliştirildi. Şirket bilinen bir tehdittir: Intellexa daha önce Predator'ı konuşlandırmıştı 2021'de Mısır vatandaşlarına karşı.

Intellexa'nın Mısır'daki iPhone enfeksiyonları, http sitelerine erişmeye çalışan kullanıcıları yakalayan ortadaki adam (MITM) saldırılarıyla başladı (şifreli https istekleri bağışıktı).

TAG araştırmacıları e-posta yoluyla şunu belirtiyor: "MITM enjeksiyonunun kullanılması, saldırgana, belirli bir bağlantıya tıklamak, bir belgeyi açmak vb. gibi tipik bir eylemi gerçekleştirmek için kullanıcıya güvenmek zorunda olmadığı bir yetenek sağlar." "Bu, sıfır tıklamalı saldırılara benzer, ancak sıfır tıklamalı saldırı yüzeyinde bir güvenlik açığı bulmak zorunda değilsiniz."

"Bu, ticari gözetleme satıcılarının neden olduğu zararların ve yalnızca bireylere değil, genel olarak topluma yönelik oluşturdukları tehditlerin bir başka örneğidir" diye eklediler.

iOS'ta 3 Sıfır Gün, 1 Saldırı Zinciri

MITM kumarı kullanılarak kullanıcılar, saldırganın kontrolündeki bir siteye yönlendirildi. Buradan, tuzağa düşürülen kullanıcı amaçlanan hedefse (her saldırı yalnızca belirli bireyleri hedefliyorsa), istismarın tetikleneceği ikinci bir alana yönlendirileceklerdi.

Intellexa'nın istismar zincirinde üç sıfır gün yer alıyor yamalı güvenlik açıkları iOS 17.0.1'den itibaren. Şu şekilde takip ediliyorlar: CVE-2023-41993 — Safari'de bir uzaktan kod yürütme (RCE) hatası; CVE-2023-41991 — PAC bypassına izin veren bir sertifika doğrulama sorunu; Ve CVE-2023-41992 — aygıt çekirdeğinde ayrıcalık yükseltmeyi mümkün kılan.

Üç adımın tamamı tamamlandıktan sonra, küçük bir ikili dosya Predator kötü amaçlı yazılımının bırakılıp bırakılmayacağını belirleyecekti.

“iOS için tam bir sıfır gün istismar zincirinin bulunması, saldırganlar için şu anda en son teknolojilerin öğrenilmesi açısından genellikle yeni bir şey. Araştırmacılar e-postada, sıfır günlük bir istismarın serbest yakalandığı her seferde, saldırganlar için bu bir başarısızlık durumudur; hangi güvenlik açıklarına sahip olduklarını ve istismarlarının nasıl çalıştığını bilmemizi istemezler." "Güvenlik ve teknoloji sektörü olarak, yeni bir güvenlik açığı yaratmalarını çok daha zorlaştırmak için bu güvenlik açıkları hakkında mümkün olduğunca çok şey öğrenmek bizim görevimiz."

Android'de Benzersiz Bir Güvenlik Açığı

Intellexa, iOS'un yanı sıra MITM ve doğrudan hedeflere gönderilen tek seferlik bağlantılar aracılığıyla Android telefonları da hedef aldı. 

Bu sefer yalnızca bir güvenlik açığına ihtiyaç vardı: CVE-2023-4762, yüksek önem derecesine sahiptir ancak CVSS güvenlik açığı ciddiyet ölçeğinde 8.8 üzerinden 10 puan almıştır. Kusur Google Chrome'da mevcut ve saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla ana makinede rastgele kod yürütmesine olanak tanır. Bir güvenlik araştırmacısı tarafından bağımsız olarak bildirilen ve 5 Eylül itibarıyla yama uygulanan Google TAG, Intellexa'nın daha önce bu güvenlik açığını sıfır gün olarak kullandığına inanıyor.

İyi haber şu ki, Google TAG'a göre bulgular olası saldırganları çizim tahtasına geri gönderecek. 

Araştırmacılar, "Saldırganların artık sıfır gün açıklarından dördünü değiştirmek zorunda kalacaklar, bu da Predator'ı iPhone'lara yükleme yeteneklerini sürdürmek için yeni açıklardan yararlanmaları veya geliştirmeleri gerektiği anlamına geliyor" diye bir e-posta gönderdiler. "Kötü amaçlı yazılımların açığa çıktığı her defasında, saldırganların parasına, zamanına ve kaynaklarına mal oluyor."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain