Три уязвимости нулевого дня, которые Apple устранила 21 сентября 2023 года, использовались как часть цепочки эксплойтов iPhone в попытке атаковать бывшего депутата египетского парламента Ахмеда Эльтантави в период с мая по сентябрь 2023 года. Ахмед Эльтантави распространяет шпионское ПО под названием Predator..
"Атака произошла после того, как Эль-Тантави публично заявил о своих планах баллотироваться на пост президента на выборах в Египте в 2024 году", - заявили в лаборатории. Лаборатория с высокой степенью уверенности приписала нападение египетскому правительству, которое является известными клиентами этого инструмента коммерческого шпионажа. .
Согласно совместному расследованию, проведенному Междисциплинарными лабораториями Канады и группой анализа угроз Google (TAG), инструмент наблюдения за наемниками предположительно был доставлен через текстовые сообщения и ссылки, отправленные в WhatsApp.
«В августе и сентябре 2023 года мобильные соединения Vodafone Egypt компании Eltantawy продолжали выбираться для атак посредством сетевого внедрения; когда Eltantawy посещал определенные веб-сайты, которые не использовали HTTPS, устройства, установленные по периметру сети Vodafone Egypt, автоматически перенаправляли его на вредоносный веб-сайт. "На телефоне было установлено шпионское ПО Cytrox Predator", - заявили исследователи Citizen Lab.
Цепочка эксплойтов использует три уязвимости: CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993, которые могут позволить злоумышленнику обойти проверку сертификата, повысить привилегии и добиться удаленного выполнения кода на цели. Устройство, используемое для обработки специально созданного веб-контента.
Predator, созданный компанией Cytrox, похож на Pegasus от NSO Group и позволяет клиентам отслеживать интересующие цели и получать конфиденциальные данные с зараженных устройств. Она входит в консорциум поставщиков шпионского ПО под названием Intellexa Alliance, который в июле 2023 года был занесен правительством США в черный список за «содействие репрессиям и другим нарушениям прав человека».
Уязвимость, размещенная в домене sec-flare[.]com, как сообщается, была использована посредством сложной сетевой атаки с использованием промежуточного блока PacketLogic на базе Sandvine после того, как Eltantawy был перенаправлен на веб-сайт c.betly[.]me. И распространился. Соединение между Telecom Egypt и Vodafone Egypt.
«Тело целевого веб-сайта состоит из двух iframe: идентификатор «if1» содержит явно безобидный ложный контент (в данном случае ссылка на APK-файл, не содержащий шпионского ПО), а идентификатор «if2» — невидимый iframe, содержащий заражение Predator. ссылка размещена на сайте sec-flare[.]com», — сообщили в Citizen Lab.
Исследователь Google TAG Мэдди Стоун описывает это как атаку «противник посередине» (AitM), которая использует доступ к веб-сайту по протоколу HTTP (а не HTTPS) для перехвата и принуждения жертвы посетить другой веб-сайт. Веб-сайты, управляемые злоумышленниками.
«В этой кампании, если цель посещала какой-либо http-сайт, злоумышленники вводили трафик, чтобы незаметно перенаправить его на сайт Intellexa c.betly[.]me», — объяснил Стоун. «Если пользователь является предполагаемым целевым пользователем, веб-сайт перенаправляет цель на сервер эксплойтов sec-flare[.]com».
Eltantawy получил три текстовых сообщения в сентябре 2021, мае 2023 и сентябре 2023 года, которые были замаскированы под предупреждения безопасности от WhatsApp, призывающие Eltantawy нажимать на ссылки, чтобы завершить подозрительные сеансы входа в систему с предполагаемых устройств Windows.
Хотя ссылки не совпадали с отпечатками упомянутых выше доменов, расследование показало, что шпионское ПО Predator было установлено на устройство примерно через 2 минуты 30 секунд после того, как Eltantawy прочитал сообщение, отправленное в сентябре 2021 года.
Будьте готовы к новыминформационная безопасностьВызов? Присоединяйтесь к нам на содержательном вебинаре в партнерстве с Zscaler, чтобы противостоять растущей угрозе генеративного искусственного интеллекта в кибербезопасности.
Вступайте сегодня
Он также получил два сообщения в WhatsApp 24 июня 2023 г. и 12 июля 2023 г., в которых человек, утверждающий, что работает в Международной федерации по правам человека (FIDH), запрашивал информацию о статье, указывающей на веб-сайт sec-flare. .]ком. Эти сообщения не читаются.
Google TAG сообщила, что также обнаружила цепочку эксплойтов, которая использовала уязвимость удаленного выполнения кода (CVE-2023-4762) в веб-браузере Chrome для доставки Predator на устройства Android с помощью двух методов: внедрения AitM и через одноразовые ссылки, отправленные непосредственно на .
CVE-2023-4762 — это уязвимость, связанная с путаницей типов в движке V8, о которой анонимно сообщили 16 августа 2023 г. и которая была исправлена Google 5 сентября 2023 г., хотя интернет-гигант оценил, что Cytrox/Intellexa могут использовать эту уязвимость как нулевой день.
Согласно краткому описанию в Национальной базе данных уязвимостей (NVD) NIST, CVE-2023-4762 включает в себя «путаницу типов в V8 в Google Chrome до 116.0.5845.179, что позволяет удаленному злоумышленнику выполнить произвольный код через созданную HTML-страницу».
Последние результаты не только подчеркивают злоупотребление инструментами наблюдения против гражданского общества, но и выявляют «слепые пятна» в телекоммуникационной экосистеме, которые можно использовать для перехвата сетевого трафика и внедрения вредоносного ПО в целевые устройства.
«Несмотря на огромные достижения в области «шифрования в сети» за последние годы, пользователи все еще время от времени посещают веб-сайты без HTTPS, а одно посещение веб-сайта без HTTPS может привести к заражению шпионским ПО», — заявили в Citizen Lab.
Пользователям, которые подвергаются риску заражения шпионским ПО из-за своей «личности или поведения», рекомендуется обновлять свои устройства и включать режим блокировки на своих iPhone, iPad и Mac, чтобы избежать таких атак.
Оригинал статьи, автор: Chief Security Officer, при перепечатке указать источник: https://cncso.com/ru/predator-software-exploits-zero-day-vulnerability-attack.html
