Ізраїльська компанія з програмного забезпечення для відеоспостереження використала три вразливості нульового дня Apple, оприлюднені минулого тижня, щоб розробити ланцюжок експлойтів для iPhone, і нульовий день Chrome для використання Android — і все це в новій атаці на єгипетські організації.
Згідно з недавнім звітом від Google Threat Analysis Group (TAG), компанія, яка називає себе «Intellexa» — використав спеціальний доступ, отриманий через ланцюжок експлойтів, щоб встановити своє фірмове шпигунське програмне забезпечення «Predator» проти неназваних цілей у Єгипті.
За даними TAG, Predator вперше був розроблений компанією Cytrox, одним із розробників шпигунського ПЗ, які останніми роками були поглинені під егідою Intellexa. Компанія є відомою загрозою: Intellexa раніше розгорнула Predator проти громадян Єгипту ще в 2021 році.
Зараження iPhone від Intellexa в Єгипті почалося з атак "людина посередині" (MITM), перехоплюючи користувачів, коли вони намагалися отримати доступ до http-сайтів (зашифровані https-запити були захищені).
«Використання ін’єкції MITM дає зловмиснику можливість, коли йому не потрібно покладатися на те, що користувач зробить типову дію, як-от клацання певного посилання, відкриття документа тощо», — зазначають дослідники TAG електронною поштою. «Це схоже на експлойти з нульовим натисканням, але без необхідності пошуку вразливості на поверхні атаки з нульовим натисканням».
Вони додали: «Це ще один приклад шкоди, яку завдають постачальники комерційних засобів спостереження, і загроз, які вони становлять не лише для окремих осіб, а й для суспільства в цілому».
3 Zero-Days в iOS, 1 Attack Chain
Використовуючи гамбіт MITM, користувачі були перенаправлені на контрольований зловмисником сайт. Звідти, якщо потрапив у пастку користувач був передбачуваною ціллю (кожна атака була спрямована лише на конкретних осіб), вони були б перенаправлені на другий домен, де спрацював би експлойт.
Ланцюжок експлойтів Intellexa включав три нульових дня уразливості, які були виправлені починаючи з iOS 17.0.1. Вони відстежуються як CVE-2023-41993 — помилка віддаленого виконання коду (RCE) у Safari; CVE-2023-41991 — проблема перевірки сертифіката, яка дозволяє обхід PAC; і CVE-2023-41992 — що дозволяє підвищувати привілеї в ядрі пристрою.
Після виконання всіх трьох кроків невеликий двійковий файл визначатиме, чи видаляти шкідливе програмне забезпечення Predator.
«Виявлення повного ланцюжка експлойтів нульового дня для iOS зазвичай є новим для вивчення того, що наразі є передовим для зловмисників. Кожен раз, коли експлойт нульового дня виявляється в дикій природі, це випадок невдачі для зловмисників — вони не хочуть, щоб ми знали, які вразливості вони мають і як працюють їхні експлойти», — зазначили дослідники в електронному листі. «Як індустрії безпеки та технологій, наша робота — дізнатися якомога більше про ці експлойти, щоб значно ускладнити їм створення нових».
Особлива вразливість в Android
Окрім iOS, Intellexa націлилася на телефони Android через MITM і одноразові посилання, які надсилаються безпосередньо цілям.
Цього разу потрібна була лише одна вразливість: CVE-2023-4762, висока небезпека, але рейтинг 8.8 з 10 за шкалою вразливості CVSS. Недолік існує в Google Chrome і дозволяє зловмисникам виконувати довільний код на хост-машині за допомогою спеціально створеної HTML-сторінки. Згідно з незалежним повідомленням дослідника безпеки та виправленим станом на 5 вересня, Google TAG вважає, що Intellexa раніше використовувала вразливість як нульовий день.
Хороша новина полягає в тому, що відкриття повернуть потенційних зловмисників до креслярської дошки, згідно з Google TAG.
«Тепер зловмисникам доведеться замінити чотири експлойти нульового дня, що означає, що вони повинні придбати або розробити нові експлойти, щоб зберегти можливість інсталювати Predator на iPhone», — написали дослідники електронною поштою. «Кожного разу, коли їхні подвиги виявляються в дикій природі, це коштує зловмисникам грошей, часу та ресурсів».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/dr-global/spyware-vendor-egyptian-orgs-ios-exploit-chain
- :є
- : ні
- :де
- 1
- 10
- 17
- 2021
- 8
- a
- здатність
- МЕНЮ
- доступ
- За
- дію
- доданий
- доповнення
- проти
- спрямований
- ВСІ
- Дозволити
- an
- аналіз
- та
- чоловіча
- Інший
- Apple
- ЕСТЬ
- AS
- At
- атака
- нападки
- спробував
- назад
- BE
- було
- почалася
- буття
- вважає,
- рада
- Помилка
- але
- купити
- by
- Виклики
- CAN
- можливості
- випадок
- спійманий
- викликаний
- сертифікат
- ланцюг
- Chrome
- громадяни
- код
- комерційний
- компанія
- повний
- витрати
- створений
- створювати
- В даний час
- різання
- розгорнути
- Визначати
- розвивати
- розвиненою
- розробників
- пристрій
- безпосередньо
- документ
- домен
- Дон
- малювання
- Падіння
- кожен
- край
- Єгипет
- дозволяє
- зашифрованих
- ескалація
- і т.д.
- Ефір (ETH)
- приклад
- виконувати
- виконання
- Експлуатувати
- подвигів
- Провал
- знайти
- виявлення
- результати
- Перший
- недолік
- для
- чотири
- від
- Повний
- отримала
- Гамбіт
- дає
- добре
- Group
- було
- важче
- шкодить
- Мати
- має
- господар
- Як
- HTML
- HTTP
- HTTPS
- if
- імунний
- in
- самостійно
- осіб
- промисловість
- Інфекції
- встановлювати
- призначених
- залучений
- iOS
- iPhone
- Ізраїльський
- питання
- IT
- ЙОГО
- сам
- робота
- JPG
- Знати
- відомий
- великий
- останній
- УЧИТЬСЯ
- вивчення
- як
- LINK
- зв'язку
- машина
- підтримувати
- зробити
- шкідливих програм
- засоби
- MITM
- гроші
- багато
- необхідний
- Нові
- новини
- nist
- увагу
- зазначив,
- роман
- зараз
- номер
- of
- on
- ONE
- тільки
- відкриття
- or
- організації
- наші
- з
- сторінка
- телефони
- plato
- Інформація про дані Платона
- PlatoData
- хижак
- раніше
- привілей
- РІДНІ
- досягати
- останній
- покладатися
- віддалений
- замінювати
- Повідомляється
- запитів
- дослідник
- Дослідники
- ресурси
- s
- Safari
- шкала
- другий
- безпеку
- послати
- посланий
- Сім
- аналогічний
- особливий
- сайт
- сайти
- невеликий
- суспільство
- спеціальний
- спеціально
- конкретний
- шпигунських програм
- заходи
- поверхню
- спостереження
- T
- TAG
- Приймати
- Мета
- цільове
- цілі
- технології
- технологічна галузь
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- це
- загроза
- загрози
- три
- через
- час
- до
- викликати
- типовий
- типово
- парасолька
- при
- БЕЗ ІМЕНИ
- us
- використання
- використовуваний
- користувач
- користувачі
- використання
- перевірка достовірності
- продавець
- постачальники
- через
- Уразливості
- вразливість
- хотіти
- було
- we
- week
- були
- Що
- Чи
- який
- Wild
- волі
- з
- без
- Work
- б
- років
- ще
- зефірнет
- уразливості нульового дня