Spyware Vendor Targets Egyptian Orgs With Rare IOS Exploit Chain

Перевидано Платоном

читають: 0

Ізраїльська компанія з програмного забезпечення для відеоспостереження використала три вразливості нульового дня Apple, оприлюднені минулого тижня, щоб розробити ланцюжок експлойтів для iPhone, і нульовий день Chrome для використання Android — і все це в новій атаці на єгипетські організації.

Згідно з недавнім звітом від Google Threat Analysis Group (TAG), компанія, яка називає себе «Intellexa» — використав спеціальний доступ, отриманий через ланцюжок експлойтів, щоб встановити своє фірмове шпигунське програмне забезпечення «Predator» проти неназваних цілей у Єгипті.

За даними TAG, Predator вперше був розроблений компанією Cytrox, одним із розробників шпигунського ПЗ, які останніми роками були поглинені під егідою Intellexa. Компанія є відомою загрозою: Intellexa раніше розгорнула Predator проти громадян Єгипту ще в 2021 році.

Зараження iPhone від Intellexa в Єгипті почалося з атак "людина посередині" (MITM), перехоплюючи користувачів, коли вони намагалися отримати доступ до http-сайтів (зашифровані https-запити були захищені).

«Використання ін’єкції MITM дає зловмиснику можливість, коли йому не потрібно покладатися на те, що користувач зробить типову дію, як-от клацання певного посилання, відкриття документа тощо», — зазначають дослідники TAG електронною поштою. «Це схоже на експлойти з нульовим натисканням, але без необхідності пошуку вразливості на поверхні атаки з нульовим натисканням».

Вони додали: «Це ще один приклад шкоди, яку завдають постачальники комерційних засобів спостереження, і загроз, які вони становлять не лише для окремих осіб, а й для суспільства в цілому».

3 Zero-Days в iOS, 1 Attack Chain

Використовуючи гамбіт MITM, користувачі були перенаправлені на контрольований зловмисником сайт. Звідти, якщо потрапив у пастку користувач був передбачуваною ціллю (кожна атака була спрямована лише на конкретних осіб), вони були б перенаправлені на другий домен, де спрацював би експлойт.

Ланцюжок експлойтів Intellexa включав три нульових дня уразливості, які були виправлені починаючи з iOS 17.0.1. Вони відстежуються як CVE-2023-41993 — помилка віддаленого виконання коду (RCE) у Safari; CVE-2023-41991 — проблема перевірки сертифіката, яка дозволяє обхід PAC; і CVE-2023-41992 — що дозволяє підвищувати привілеї в ядрі пристрою.

Після виконання всіх трьох кроків невеликий двійковий файл визначатиме, чи видаляти шкідливе програмне забезпечення Predator.

«Виявлення повного ланцюжка експлойтів нульового дня для iOS зазвичай є новим для вивчення того, що наразі є передовим для зловмисників. Кожен раз, коли експлойт нульового дня виявляється в дикій природі, це випадок невдачі для зловмисників — вони не хочуть, щоб ми знали, які вразливості вони мають і як працюють їхні експлойти», — зазначили дослідники в електронному листі. «Як індустрії безпеки та технологій, наша робота — дізнатися якомога більше про ці експлойти, щоб значно ускладнити їм створення нових».

Особлива вразливість в Android

Окрім iOS, Intellexa націлилася на телефони Android через MITM і одноразові посилання, які надсилаються безпосередньо цілям.

Цього разу потрібна була лише одна вразливість: CVE-2023-4762, висока небезпека, але рейтинг 8.8 з 10 за шкалою вразливості CVSS. Недолік існує в Google Chrome і дозволяє зловмисникам виконувати довільний код на хост-машині за допомогою спеціально створеної HTML-сторінки. Згідно з незалежним повідомленням дослідника безпеки та виправленим станом на 5 вересня, Google TAG вважає, що Intellexa раніше використовувала вразливість як нульовий день.

Хороша новина полягає в тому, що відкриття повернуть потенційних зловмисників до креслярської дошки, згідно з Google TAG.

«Тепер зловмисникам доведеться замінити чотири експлойти нульового дня, що означає, що вони повинні придбати або розробити нові експлойти, щоб зберегти можливість інсталювати Predator на iPhone», — написали дослідники електронною поштою. «Кожного разу, коли їхні подвиги виявляються в дикій природі, це коштує зловмисникам грошей, часу та ресурсів».