Apple が 2023 年 9 月 21 日に対処した 3 つのゼロデイ脆弱性は、2023 年 5 月から 9 月にかけてエジプトの元国会議員アーメド・エルタンタウィを標的とする試みで iPhone エクスプロイトチェーンの一部として使用されました。アーメド・エルタンタウィはプレデターと呼ばれるスパイウェアを拡散させました。。
同研究所は、「エル・タンタウィ氏が2024年のエジプト大統領選に立候補する計画を公言した後に襲撃が発生した」と述べ、この攻撃はエジプト政府によるものであると確信しており、エジプト政府はこの商業スパイツールの既知の顧客であるとしている。 。
Interdisciplinary Labs Canada と Google の脅威分析グループ (TAG) による共同調査によると、この傭兵監視ツールはテキスト メッセージや WhatsApp で送信されたリンクを介して配信されたとされています。
「2023 年 8 月と 9 月、エルタンタウィのボーダフォン エジプト モバイル接続は、ネットワーク インジェクションによる攻撃の対象となり続けました。エルタンタウィが HTTPS を使用していない特定の Web サイトにアクセスすると、ボーダフォン エジプト ネットワークの境界に設置されたデバイスによって自動的に悪意のあるウェブサイトにリダイレクトされました。」シチズン・ラボの研究者らは、「サイトロックスのプレデター・スパイウェアが携帯電話にインストールされた」と述べた。
このエクスプロイト チェーンは、CVE-2023-41991、CVE-2023-41992、および CVE-2023-41993 の 3 つの脆弱性を悪用し、悪意のある攻撃者が証明書の検証を回避し、権限を昇格させ、ターゲット上でリモート コードを実行できる可能性があります。特別に作成された Web コンテンツを処理するときに使用されるデバイス。
Cytrox という会社が開発した Predator は、NSO Group の Pegasus に似ており、顧客は関心のあるターゲットを監視し、感染したデバイスから機密データを取得できます。これは、Intellexa Alliance と呼ばれるスパイウェア ベンダーのコンソーシアムの一部であり、Intellexa Alliance は、「弾圧やその他の人権侵害に貢献した」として、2023 年 7 月に米国政府によってブラックリストに登録されました。
このエクスプロイトは、sec-flare[.]com というドメインでホストされており、Eltantawy が c.betly[.]me という Web サイトにリダイレクトされた後、Sandvine ベースの PacketLogic ミドルボックスを使用した高度なネットワーク インジェクション攻撃を通じて悪用されたと言われています。そして広がりました。テレコム エジプトとボーダフォン エジプト間のリンク。
「ターゲット Web サイトの本文は 2 つの iframe で構成されます。ID「if1」には明らかに無害なおとりコンテンツ (この場合はスパイウェアを含まない APK ファイルへのリンク) が含まれ、ID「if2」には Predator 感染を含む目に見えない iframe が含まれます。リンク sec-flare[.]com でホストされています」と Citizen Lab は述べています。
Google TAG 研究者の Maddie Stone 氏は、これを、Web サイトへの (HTTPS ではなく) HTTP アクセスを使用して傍受し、被害者を別の Web サイトに強制的にアクセスさせる中間者攻撃 (AitM) であると説明しています。脅威アクターによって運営されている Web サイト。
「このキャンペーンでは、ターゲットがいずれかの『http』Web サイトにアクセスすると、攻撃者はトラフィックを注入して、Intellexa の Web サイト c.betly[.]me にサイレントにリダイレクトしました」と Stone 氏は説明しました。 「ユーザーが意図したターゲット ユーザーである場合、Web サイトはターゲットをエクスプロイト サーバー sec-flare[.]com にリダイレクトします。」
Eltantawy は、2021 年 9 月、2023 年 5 月、および 2023 年 9 月に WhatsApp からのセキュリティ警告を装った 3 つのテキスト メッセージを受け取り、リンクをクリックして Windows デバイスと称する不審なログイン セッションを終了するよう促しました。
リンクは上記のドメインのフィンガープリントと一致しませんでしたが、調査の結果、エルタンタウィが 2021 年 9 月に送信されたメッセージを読んでから約 2 分 30 秒後に、プレデター スパイウェアがデバイスにインストールされたことが判明しました。
新しい AI 主導の準備を整えるサイバーセキュリティ挑戦しましたか?サイバーセキュリティにおける生成 AI の増大する脅威に対処するため、Zscaler と提携した洞察力に富んだウェビナーにぜひご参加ください。
今日参加します
彼はまた、2023年6月24日と2023年7月12日に、国際人権連盟(FIDH)で働いていると主張する個人がsec-flareウェブサイトを指す記事に関する情報を求める2つのWhatsAppメッセージを受信した。 .】com。これらのメッセージは読まれません。
Google TAGは、Chrome Webブラウザのリモートコード実行の欠陥(CVE-2023-4762)を武器にして、AitMインジェクションと直接送信されるワンタイムリンク宛先経由の2つの方法を使用してAndroidデバイスにPredatorを配信するエクスプロイトチェーンも検出したと発表した。 。
CVE-2023-4762 は、V8 エンジンの型混同の脆弱性で、2023 年 8 月 16 日に匿名で報告され、2023 年 9 月 5 日に Google によってパッチが適用されました。ただし、インターネット大手の Google は、Cytrox/Intellexa がこの脆弱性をゼロデイとして悪用する可能性があると評価しました。
NIST National Vulnerability Database (NVD) の簡単な説明によると、CVE-2023-4762 には「116.0.5845.179 より前の Google Chrome の V8 でタイプの混乱が発生し、リモートの攻撃者が細工された HTML ページを介して任意のコードを実行できる」ことが関係しています。
最新の調査結果は、市民社会に対する監視ツールの悪用を浮き彫りにするだけでなく、ネットワークトラフィックを傍受し、ターゲットデバイスにマルウェアを注入するために利用できる通信エコシステムの盲点も浮き彫りにしている。
「近年『ウェブの暗号化』は大幅に進歩したにもかかわらず、ユーザーは依然としてHTTPSを使用しないウェブサイトにアクセスすることがあり、非HTTPSのウェブサイトを一度訪問するだけでスパイウェア感染につながる可能性がある」とシチズン・ラボは述べた。
「身元または行為」が原因でスパイウェアの危険にさらされているユーザーは、デバイスを最新の状態に保ち、そのような攻撃を回避するために iPhone、iPad、Mac でロックダウン モードを有効にすることをお勧めします。
元記事はChief Security Officerによるもので、転載される場合は、https://cncso.com/jp/プレデター・ソフトウェア、ゼロデイ脆弱性攻撃のクレジットをお願いします。