Търсене
Close this search box.

Нови уязвимости на Apple, водят до насочване на египетски депутат с Predator

Трите недостатъка от типа нулев ден, които Apple отстрани на 21 септември 2023 г., са били използвани като част от верига от експлойти за iPhone в опит да се достави шпионски софтуер, наречен Predator, насочен към бившия египетски депутат Ахмед Елтантауи между май и септември 2023 г.

„Таргетирането се осъществи, след като Елтантауи публично заяви плановете си да се кандидатира за президент на изборите в Египет през 2024 г.“, заявиха от Citizen Lab, като приписаха атаката с висока степен на доверие на египетското правителство поради това, че то е известен клиент на търговския шпионски инструмент.

Според съвместното разследване, проведено от канадската интердисциплинарна лаборатория и Групата за анализ на заплахите (TAG) на Google, се твърди, че наемният инструмент за наблюдение е бил доставен чрез линкове, изпратени по SMS и WhatsApp.

„През август и септември 2023 г. мобилната връзка на Eltantawy Vodafone Egypt е била постоянно избирана за насочване чрез мрежово инжектиране; когато Eltantawy е посещавал определени уебсайтове, които не използват HTTPS, устройство, инсталирано на границата на мрежата на Vodafone Egypt, автоматично го е пренасочвало към злонамерен уебсайт, за да зарази телефона му с шпионския софтуер Predator на Cytrox“, казват изследователите от Citizen Lab.

Веригата от експлойти е използвала набор от три уязвимости – CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 – които биха могли да позволят на злонамерен участник да заобиколи валидирането на сертификати, да повиши привилегиите си и да постигне отдалечено изпълнение на код на целеви устройства при обработка на специално създадено уеб съдържание.

Predator, произведен от компания на име Cytrox, е аналогичен на Pegasus на NSO Group, като позволява на клиентите си да наблюдават цели от интерес и да събират чувствителни данни от компрометирани устройства. Част от консорциум от доставчици на шпионски софтуер, наречен Intellexa Alliance, той е блокиран от правителството на САЩ през юли 2023 г. за „създаване на условия за провеждане на кампании за репресии и други нарушения на човешките права“.

 

Твърди се, че експлойтът, хостван в домейн на име sec-flare[.]com, е бил доставен, след като Eltantawy е бил пренасочен към уебсайт на име c.betly[.]me чрез сложна атака за инжектиране в мрежата, използвайки междинната кутия PacketLogic на Sandvine, разположена на връзката между Telecom Egypt и Vodafone Egypt.

„Тялото на уебсайта на местоназначението включваше два iframe, ID „if1“, който съдържаше очевидно доброкачествено съдържание за примамка (в този случай връзка към APK файл, който не съдържа шпионски софтуер), и ID „if2″, който представляваше невидим iframe, съдържащ връзка за заразяване с Predator, хоствана в sec-flare[.]com“, заявиха от Citizen Lab.

Изследователката от Google TAG Мади Стоун го характеризира като случай на атака тип „противник по средата“ (adversary-in-the-middle, AitM), която се възползва от посещение на уебсайт, използващ HTTP (за разлика от HTTPS), за да прихване и принуди жертвата да посети друг сайт, управляван от заплахата.

„В случая на тази кампания, ако целта отиде на някой „http“ сайт, нападателите инжектират трафик, за да я пренасочат безшумно към сайта на Intellexa, c.betly[.]me“, обяснява Стоун. „Ако потребителят беше очакваният целеви потребител, сайтът щеше да пренасочи целта към сървъра за експлоатиране, sec-flare[.]com.“

През септември 2021 г., май 2023 г. и септември 2023 г. Елтантауи получи три SMS съобщения, които бяха маскирани като предупреждения за сигурност от WhatsApp и го призоваваха  да кликне върху връзка, за да прекрати подозрителна сесия за влизане, произхождаща от предполагаемо устройство с Windows.

Въпреки че тези връзки не съвпадат с пръстовия отпечатък на гореспоменатия домейн, разследването разкри, че шпионският софтуер Predator е бил инсталиран на устройството приблизително 2 минути и 30 секунди след като депутатът е прочел съобщението, изпратено през септември 2021 г.

Освен това на 24 юни 2023 г. и на 12 юли 2023 г. той получил две съобщения в WhatsApp, в които лице, представящо се за работещо за Международната федерация за правата на човека (FIDH), поискало мнението му по статия, която сочела към уебсайта sec-flare[.]com. Съобщенията са останали непрочетени.

Google TAG заяви, че е открила и верига от експлойти, която е използвала като оръжие недостатък в отдалеченото изпълнение на код в уеб браузъра Chrome (CVE-2023-4762), за да достави Predator на устройства с Android, използвайки два метода: инжектиране на AitM и чрез еднократни връзки, изпратени директно до целта.

 

CVE-2023-4762, уязвимост от тип объркване в енджина V8, беше анонимно докладвана на 16 август 2023 г. и поправена от Google на 5 септември 2023 г., въпреки че интернет гигантът смята, че Cytrox/Intellexa може да са използвали тази уязвимост като нулев ден.

Според краткото описание в Националната база данни за уязвимости (NVD) на NIST, CVE-2023-4762 се отнася до „объркване на типа във V8 в Google Chrome преди 116.0.5845.179 [което] позволява на отдалечен атакуващ да изпълни произволен код чрез изработена HTML страница“.

Последните констатации, освен че подчертават злоупотребата с инструменти за наблюдение с цел насочване към гражданското общество, подчертават „мъртвите точки“ в телекомуникационната екосистема, които могат да бъдат използвани за прихващане на мрежовия трафик и инжектиране на зловреден софтуер в устройствата на целите.

„Въпреки че през последните години бяха направени големи стъпки за „криптиране на мрежата“, потребителите все още понякога посещават уебсайтове без HTTPS, а едно посещение на уебсайт без HTTPS може да доведе до заразяване с шпионски софтуер“, заявиха от Citizen Lab.

На потребителите, които са изложени на риск от заплахи от шпионски софтуер поради това „кои са или с какво се занимават“, се препоръчва да поддържат устройствата си в актуално състояние и да активират Lockdown Mode на iPhone, iPad и Mac, за да предотвратят подобни атаки.

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
26/03/2024

Apple е пестелива на подроб...

Apple пусна iOS 17.4.1, най-новата си...
06/03/2024

Apple поправя два нови нуле...

Apple пусна спешни актуализации на сигурността,...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!