Программное обеспечение Predator использует уязвимость нулевого дня Apple для атаки на правительство Египта

Шпионское ПО под названием Predator использовало новую уязвимость нулевого дня Apple, чтобы атаковать бывшего египетского законодателя. Обнаружение этой атаки еще раз подчеркивает важность кибербезопасности, особенно для политиков и общественных деятелей.

Три уязвимости нулевого дня, которые Apple устранила 21 сентября 2023 года, использовались как часть цепочки эксплойтов iPhone в попытке атаковать бывшего депутата египетского парламента Ахмеда Эльтантави в период с мая по сентябрь 2023 года. Ахмед Эльтантави распространяет шпионское ПО под названием Predator..

"Атака произошла после того, как Эль-Тантави публично заявил о своих планах баллотироваться на пост президента на выборах в Египте в 2024 году", - заявили в лаборатории. Лаборатория с высокой степенью уверенности приписала нападение египетскому правительству, которое является известными клиентами этого инструмента коммерческого шпионажа. .

Согласно совместному расследованию, проведенному Междисциплинарными лабораториями Канады и группой анализа угроз Google (TAG), инструмент наблюдения за наемниками предположительно был доставлен через текстовые сообщения и ссылки, отправленные в WhatsApp.

«В августе и сентябре 2023 года мобильные соединения Vodafone Egypt компании Eltantawy продолжали выбираться для атак посредством сетевого внедрения; когда Eltantawy посещал определенные веб-сайты, которые не использовали HTTPS, устройства, установленные по периметру сети Vodafone Egypt, автоматически перенаправляли его на вредоносный веб-сайт. "На телефоне было установлено шпионское ПО Cytrox Predator", - заявили исследователи Citizen Lab.

Программное обеспечение Predator использует уязвимость нулевого дня Apple для атаки на правительство Египта

Цепочка эксплойтов использует три уязвимости: CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993, которые могут позволить злоумышленнику обойти проверку сертификата, повысить привилегии и добиться удаленного выполнения кода на цели. Устройство, используемое для обработки специально созданного веб-контента.

Predator, созданный компанией Cytrox, похож на Pegasus от NSO Group и позволяет клиентам отслеживать интересующие цели и получать конфиденциальные данные с зараженных устройств. Она входит в консорциум поставщиков шпионского ПО под названием Intellexa Alliance, который в июле 2023 года был занесен правительством США в черный список за «содействие репрессиям и другим нарушениям прав человека».

Уязвимость Apple «нулевого дня»

Уязвимость, размещенная в домене sec-flare[.]com, как сообщается, была использована посредством сложной сетевой атаки с использованием промежуточного блока PacketLogic на базе Sandvine после того, как Eltantawy был перенаправлен на веб-сайт c.betly[.]me. И распространился. Соединение между Telecom Egypt и Vodafone Egypt.

«Тело целевого веб-сайта состоит из двух iframe: идентификатор «if1» содержит явно безобидный ложный контент (в данном случае ссылка на APK-файл, не содержащий шпионского ПО), а идентификатор «if2» — невидимый iframe, содержащий заражение Predator. ссылка размещена на сайте sec-flare[.]com», — сообщили в Citizen Lab.

Исследователь Google TAG Мэдди Стоун описывает это как атаку «противник посередине» (AitM), которая использует доступ к веб-сайту по протоколу HTTP (а не HTTPS) для перехвата и принуждения жертвы посетить другой веб-сайт. Веб-сайты, управляемые злоумышленниками.

«В этой кампании, если цель посещала какой-либо http-сайт, злоумышленники вводили трафик, чтобы незаметно перенаправить его на сайт Intellexa c.betly[.]me», — объяснил Стоун. «Если пользователь является предполагаемым целевым пользователем, веб-сайт перенаправляет цель на сервер эксплойтов sec-flare[.]com».

Eltantawy получил три текстовых сообщения в сентябре 2021, мае 2023 и сентябре 2023 года, которые были замаскированы под предупреждения безопасности от WhatsApp, призывающие Eltantawy нажимать на ссылки, чтобы завершить подозрительные сеансы входа в систему с предполагаемых устройств Windows.

Хотя ссылки не совпадали с отпечатками упомянутых выше доменов, расследование показало, что шпионское ПО Predator было установлено на устройство примерно через 2 минуты 30 секунд после того, как Eltantawy прочитал сообщение, отправленное в сентябре 2021 года.

Ближайшие вебинары

Искусственный интеллект против искусственного интеллекта: использование ИИ для защиты от рисков, связанных с ИИ

Будьте готовы к новыминформационная безопасностьВызов? Присоединяйтесь к нам на содержательном вебинаре в партнерстве с Zscaler, чтобы противостоять растущей угрозе генеративного искусственного интеллекта в кибербезопасности.

Вступайте сегодня

Он также получил два сообщения в WhatsApp 24 июня 2023 г. и 12 июля 2023 г., в которых человек, утверждающий, что работает в Международной федерации по правам человека (FIDH), запрашивал информацию о статье, указывающей на веб-сайт sec-flare. .]ком. Эти сообщения не читаются.

Google TAG сообщила, что также обнаружила цепочку эксплойтов, которая использовала уязвимость удаленного выполнения кода (CVE-2023-4762) в веб-браузере Chrome для доставки Predator на устройства Android с помощью двух методов: внедрения AitM и через одноразовые ссылки, отправленные непосредственно на .

Программное обеспечение Predator использует уязвимость нулевого дня Apple для атаки на правительство Египта

CVE-2023-4762 — это уязвимость, связанная с путаницей типов в движке V8, о которой анонимно сообщили 16 августа 2023 г. и которая была исправлена Google 5 сентября 2023 г., хотя интернет-гигант оценил, что Cytrox/Intellexa могут использовать эту уязвимость как нулевой день.

Согласно краткому описанию в Национальной базе данных уязвимостей (NVD) NIST, CVE-2023-4762 включает в себя «путаницу типов в V8 в Google Chrome до 116.0.5845.179, что позволяет удаленному злоумышленнику выполнить произвольный код через созданную HTML-страницу».

Последние результаты не только подчеркивают злоупотребление инструментами наблюдения против гражданского общества, но и выявляют «слепые пятна» в телекоммуникационной экосистеме, которые можно использовать для перехвата сетевого трафика и внедрения вредоносного ПО в целевые устройства.

«Несмотря на огромные достижения в области «шифрования в сети» за последние годы, пользователи все еще время от времени посещают веб-сайты без HTTPS, а одно посещение веб-сайта без HTTPS может привести к заражению шпионским ПО», — заявили в Citizen Lab.

Пользователям, которые подвергаются риску заражения шпионским ПО из-за своей «личности или поведения», рекомендуется обновлять свои устройства и включать режим блокировки на своих iPhone, iPad и Mac, чтобы избежать таких атак.

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/программное-обеспечение-predator-эксплуати.

Нравиться (0)
Предыдущий 20 сентября 2023 пп 10:59
Следующий 27 сентября 2023 г. в 8:00

связанное предложение