Drei Zero-Day-Schwachstellen, die von Apple am 21. September 2023 behoben wurden, waren Teil einer Kette von iPhone-Exploits, mit denen zwischen Mai und September 2023 versucht wurde, dem ehemaligen ägyptischen Parlamentsabgeordneten Ahmed Eltantawy Spionagesoftware namens Predator zu liefern.
Das Labor erklärte: "Der Angriff erfolgte, nachdem Eltantawy öffentlich erklärt hatte, dass er bei den ägyptischen Wahlen 2024 für das Präsidentenamt kandidieren wolle." Das Labor war sehr zuversichtlich, den Angriff der ägyptischen Regierung anzulasten, einem bekannten Kunden des kommerziellen Spionagetools.
Laut einer gemeinsamen Untersuchung des kanadischen Interdisziplinären Labors und der Threat Analysis Group (TAG) von Google wurde das Söldner-Überwachungstool angeblich über Textnachrichten und Links, die über WhatsApp gesendet wurden, verbreitet.
"Im August und September 2023 wurde Eltantawys Vodafone Egypt-Mobilfunkverbindung immer wieder für Angriffe über Network Injection ausgewählt; wenn Eltantawy bestimmte Websites besuchte, die kein HTTPS verwendeten, leiteten ihn die an der Grenze des Vodafone Egypt-Netzes installierten Geräte automatisch auf bösartige Websites um die seine Website infizieren würden. Die Spyware Predator von Cytrox wurde auf dem Telefon installiert", so der Citizen Lab-Forscher.
Die Exploit-Kette nutzt drei Schwachstellen (CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993) aus, die es einem böswilligen Angreifer ermöglichen könnten, die Zertifikatsvalidierung zu umgehen, seine Rechte zu erweitern und Remotecodeausführung auf dem Zielgerät zu ermöglichen. Geräte bei der Verarbeitung speziell gestalteter Webinhalte.
Predator wird von einem Unternehmen namens Cytrox hergestellt und ähnelt Pegasus der NSO Group. Es ermöglicht Kunden, interessante Ziele auszuspionieren und sensible Daten von infizierten Geräten zu erhalten. Es ist Teil eines Konsortiums von Spyware-Anbietern namens Intellexa Alliance und wurde im Juli 2023 von der US-Regierung auf die schwarze Liste gesetzt, weil es "zur Unterdrückung und anderen Menschenrechtsverletzungen beiträgt".
Die Sicherheitslücke befindet sich auf einer Domain namens sec-flare[.] com gehostet und soll sich verbreitet haben, nachdem Eltantawy auf eine Website namens c.betly[.] me, nachdem Eltantawy auf eine Website mit dem Namen c.betly[.] me umgeleitet wurde, wurde durch einen ausgeklügelten Netzwerkinjektionsangriff mit PacketLogic-Middleboxen in Sandvine verbreitet. Die Verbindung zwischen Telecom Egypt und Vodafone Egypt.
"Der Hauptteil der Zielwebsite besteht aus zwei iframes, ID "if1", die scheinbar harmlose Köderinhalte enthält (in diesem Fall einen Link zu einer APK-Datei, die keine Spyware enthält), und ID "if2", bei der es sich um einen unsichtbaren iframe handelt, der einen Link zu der Predator-Infektion enthält, die auf sec-flare[. Ein unsichtbarer iframe, der einen Link zur Predator-Infektion enthält, wird auf sec-flare[.] com", so Citizen Lab.
Die Google TAG-Forscherin Maddie Stone beschreibt es als einen AitM-Angriff (adversary-in-the-middle), bei dem der HTTP-Zugang (statt HTTPS) zu einer Website genutzt wird, um das Opfer abzufangen und zu zwingen, eine andere Website zu besuchen. Website, die von dem Bedrohungsakteur betrieben wird.
"Wenn die Zielperson eine beliebige 'http'-Seite besucht, leitet der Angreifer den Datenverkehr unbemerkt auf die Intellexa-Website c.betly[.] me", erklärt Stone. "Handelt es sich bei dem Benutzer um das beabsichtigte Ziel, leitet die Website das Ziel auf den Exploit-Server sec-flare[.] com."
Eltantawy erhielt im September 2021, Mai 2023 und September 2023 drei Textnachrichten, die als Sicherheitswarnungen von WhatsApp getarnt waren und Eltantawy aufforderten, auf einen Link zu klicken, um eine verdächtige Anmeldesitzung von dem angeblichen Windows-Gerät zu beenden.
Obwohl diese Links nicht mit den Fingerabdrücken der oben beschriebenen Domains übereinstimmen, ergab die Untersuchung, dass die Spyware Predator etwa 2 Minuten und 30 Sekunden, nachdem Eltantawy die im September 2021 gesendete Nachricht gelesen hatte, auf dem Gerät installiert wurde.2 Die Spyware Predator wurde im September auf dem Gerät installiert.
Machen Sie sich bereit für die neue KI-gesteuerteNetzwerksicherheitSchon herausgefordert? Nehmen Sie an einem aufschlussreichen Webinar mit Zscaler teil, das sich mit der wachsenden Bedrohung durch generative KI im Bereich der Cybersicherheit befasst.
Schließen Sie sich uns heute an.
Außerdem erhielt er am 24. Juni 2023 und am 12. Juli 2023 zwei WhatsApp-Nachrichten, in denen eine Person, die behauptete, für die Internationale Föderation für Menschenrechte (FIDH) zu arbeiten, seine Meinung zu einem Artikel einholte, der auf die Website sec-flare [...] com. Diese Nachrichten wurden nicht gelesen.
Laut Google TAG wurde auch eine Kette von Exploits entdeckt, die eine Schwachstelle in der Remotecode-Ausführung (CVE-2023-4762) im Chrome-Webbrowser ausnutzen, um Predator auf Android-Geräte zu übertragen, wobei zwei Methoden zum Einsatz kommen: eine AitM-Injektion und ein einmaliges Link-Ziel über eine direkte Übertragung.
CVE-2023-4762, eine Typverschleierungsschwachstelle in der V8-Engine, wurde am 16. August 2023 anonym gemeldet und von Google am 5. September 2023 gepatcht, obwohl der Internetriese der Meinung war, dass Cytrox/Intellexa die Schwachstelle möglicherweise als Zero-Day ausnutzt.
Laut einer kurzen Beschreibung aus der NIST National Vulnerability Database (NVD) bezieht sich CVE-2023-4762 auf "Type obfuscation in V8 in Google Chrome vor 116.0.5845.179, was entfernten Angreifern die Ausführung von beliebigem Code über eine präparierte HTML-Seite ermöglicht. " ".
Die neuesten Erkenntnisse zeigen nicht nur den Missbrauch von Überwachungsinstrumenten gegen die Zivilgesellschaft auf, sondern auch blinde Flecken im Telekommunikations-Ökosystem, die zum Abhören des Netzwerkverkehrs und zum Einschleusen von Malware in bestimmte Geräte genutzt werden können.
"Trotz der großen Fortschritte, die in den letzten Jahren im Bereich des verschlüsselten Webs gemacht wurden, besuchen Benutzer immer noch gelegentlich Websites ohne HTTPS, und ein einziger Besuch einer Website ohne HTTPS kann zu einer Spyware-Infektion führen", so Citizen Lab.
Benutzern, die aufgrund ihrer "Identität oder ihres Verhaltens" mit Spyware-Bedrohungen konfrontiert sind, wird empfohlen, ihre Geräte auf dem neuesten Stand zu halten und den Sperrmodus auf ihrem iPhone, iPad und Mac zu aktivieren, um solche Angriffe zu vermeiden.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/predator-software-exploits-zero-day-vulnerability-attack.html
