Apple이 2023년 9월 21일에 해결한 제로데이 취약점 3개는 2023년 5월부터 9월까지 전 이집트 의원 Ahmed Eltantawi를 표적으로 삼기 위한 iPhone 익스플로잇 체인의 일부로 사용되었습니다. Ahmed Eltantawy는 Predator라는 스파이웨어를 확산시킵니다..
연구소는 "이 공격은 엘 탄타위가 2024년 이집트 선거에서 대선에 출마하겠다는 계획을 공개적으로 밝힌 후에 발생했다"고 말했다. 연구소는 이 공격이 이 상업적 스파이 도구의 알려진 고객인 이집트 정부에 의해 높은 수준의 신뢰를 갖고 있다고 밝혔다. .
Interdisciplinary Labs Canada와 Google의 위협 분석 그룹(TAG)의 공동 조사에 따르면 용병 감시 도구는 WhatsApp에서 전송된 문자 메시지와 링크를 통해 전달된 것으로 알려졌습니다.
"2023년 8월과 9월에는 Eltantawy의 Vodafone Egypt 모바일 연결이 네트워크 주입을 통한 공격 대상으로 계속 선택되었습니다. Eltantawy가 HTTPS를 사용하지 않는 특정 웹사이트를 방문했을 때 Vodafone Egypt 네트워크 경계에 설치된 장치는 그를 자동으로 악성 웹사이트로 리디렉션했습니다. Citizen Lab 연구원들은 "Cytrox의 Predator 스파이웨어가 전화기에 설치되었습니다"라고 말했습니다.
익스플로잇 체인은 CVE-2023-41991, CVE-2023-41992, CVE-2023-41993의 세 가지 취약점을 악용합니다. 이 취약점을 통해 악의적인 공격자는 인증서 확인을 우회하고, 권한을 승격하고, 대상에서 원격 코드 실행을 달성할 수 있습니다. 특수 제작된 웹 콘텐츠를 처리할 때 사용되는 장치입니다.
Cytrox라는 회사가 만든 Predator는 NSO Group의 Pegasus와 유사하며 고객이 관심 대상을 모니터링하고 감염된 장치에서 민감한 데이터를 얻을 수 있도록 해줍니다. Intellexa Alliance라고 하는 스파이웨어 공급업체 컨소시엄의 일부입니다. 이 단체는 2023년 7월 "탄압 및 기타 인권 침해에 기여"했다는 이유로 미국 정부에 의해 블랙리스트에 올랐습니다.
sec-flare[.]com이라는 도메인에 호스팅된 이 익스플로잇은 Eltanawy가 c.betly[.]me라는 웹사이트로 리디렉션된 후 Sandvine 기반 PacketLogic 미들박스를 사용한 정교한 네트워크 주입 공격을 통해 악용된 것으로 알려졌습니다. 그리고 퍼졌습니다. Telecom Egypt와 Vodafone Egypt 간의 연결.
"대상 웹사이트의 본문은 두 개의 iframe으로 구성되어 있습니다. ID "if1"에는 겉보기에 무해한 미끼 콘텐츠(이 경우에는 스파이웨어가 포함되지 않은 APK 파일에 대한 링크)가 포함되어 있고, ID "if2"에는 Predator 감염이 포함된 보이지 않는 iframe이 있습니다. link sec-flare[.]com에서 호스팅됩니다." Citizen Lab이 말했습니다.
Google TAG 연구원인 Maddie Stone은 이를 웹사이트에 대한 HTTP(HTTPS가 아닌) 액세스를 사용하여 피해자가 다른 웹사이트를 방문하도록 가로채는 AitM(중간자 공격)이라고 설명합니다. 위협 행위자가 운영하는 웹사이트.
Stone은 "이 캠페인에서 대상이 'http' 웹사이트를 방문하면 공격자는 트래픽을 Intellexa 웹사이트 c.betly[.]me로 자동 리디렉션하기 위해 트래픽을 주입했습니다."라고 설명했습니다. "사용자가 의도된 대상 사용자인 경우 웹 사이트는 대상을 공격 서버 sec-flare[.]com으로 리디렉션합니다."
Eltantawy는 2021년 9월, 2023년 5월, 2023년 9월에 WhatsApp의 보안 경고로 위장한 3개의 문자 메시지를 받았습니다. Eltantawy는 링크를 클릭하여 알려진 Windows 장치에서 의심스러운 로그인 세션을 종료할 것을 촉구했습니다.
해당 링크는 위에서 언급한 도메인의 지문과 일치하지 않았지만, 조사 결과 엘탄타위가 2021년 9월 보낸 메시지를 읽은 지 약 2분 30초 후에 해당 기기에 프레데터 스파이웨어가 설치된 것으로 드러났다.
새로운 AI 기반에 대비하세요사이버 보안도전? 사이버 보안에서 증가하는 생성 AI 위협을 해결하기 위해 Zscaler와 파트너십을 맺은 통찰력 있는 웹 세미나에 참여하세요.
오늘 가입하세요
그는 또한 2023년 6월 24일과 2023년 7월 12일에 두 개의 WhatsApp 메시지를 받았는데, 여기에서 국제인권연맹(FIDH)에서 일한다고 주장하는 개인이 sec-flare 웹사이트를 가리키는 기사에 관한 정보를 요청했습니다. .]com. 이 메시지는 읽혀지지 않습니다.
Google TAG는 AitM 주입과 직접 전송되는 일회성 링크 대상을 통해 Android 기기에 Predator를 전달하기 위해 Chrome 웹 브라우저의 원격 코드 실행 결함(CVE-2023-4762)을 무기화하는 익스플로잇 체인도 발견했다고 밝혔습니다. .
CVE-2023-4762는 2023년 8월 16일 익명으로 보고되고 2023년 9월 5일 Google에서 패치한 V8 엔진의 유형 혼동 취약점입니다. 하지만 인터넷 거대 기업은 Cytrox/Intellexa가 이 취약점을 제로 데이로 악용할 수 있다고 평가했습니다.
NIST NVD(National Vulnerability Database)의 간략한 설명에 따르면 CVE-2023-4762는 "116.0.5845.179 이전 Google Chrome의 V8 유형 혼동으로 인해 원격 공격자가 조작된 HTML 페이지를 통해 임의 코드를 실행할 수 있게 됩니다."
이번 연구 결과는 시민 사회에 대한 감시 도구의 오용을 강조하는 것 외에도 네트워크 트래픽을 가로채고 대상 장치에 악성 코드를 주입하는 데 사용될 수 있는 통신 생태계의 사각지대도 강조합니다.
Citizen Lab은 "최근 몇 년간 '웹 암호화' 기술이 크게 발전했음에도 불구하고 사용자는 여전히 HTTPS 없이 웹사이트를 방문하는 경우가 있으며, HTTPS가 아닌 웹사이트를 한 번만 방문해도 스파이웨어 감염으로 이어질 수 있습니다"라고 말했습니다.
"신원 또는 행위"로 인해 스파이웨어의 위험에 처한 사용자는 이러한 공격을 피하기 위해 장치를 최신 상태로 유지하고 iPhone, iPad 및 Mac에서 잠금 모드를 활성화하는 것이 좋습니다.
원문, 저자: 최고보안책임자, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/predator-software-exploits-zero-day-vulnerability-attack.html
