Apple 于 2023 年 9 月 21 日解决的三个零日漏洞被用作 iPhone 漏洞利用链的一部分,试图在 2023 年 5 月至 9 月期间向埃及前议员艾哈迈德·埃尔坦塔维 (Ahmed Eltantawy) 传播名为 Predator 的间谍软件。
实验室表示:“埃尔坦塔维公开表示计划在 2024 年埃及选举中竞选总统后,就发生了这次袭击。”该实验室高度自信地将这次袭击归咎于埃及政府,因为埃及政府是该商业间谍工具的已知客户。
根据加拿大跨学科实验室和谷歌威胁分析小组(TAG)进行的联合调查,据称该雇佣兵监视工具是通过短信和 WhatsApp 上发送的链接传递的。
“2023 年 8 月和 9 月,Eltantawy 的 Vodafone Egypt 移动连接持续被选择通过网络注入进行攻击;当 Eltantawy 访问某些不使用 HTTPS 的网站时,安装在 Vodafone Egypt 网络边界的设备会自动将他重定向到恶意网站,从而感染他的网站。”手机上安装了 Cytrox 的 Predator 间谍软件,”公民实验室的研究人员说道。
该漏洞利用链利用了三个漏洞:CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993,这可能允许恶意攻击者绕过证书验证、提升权限并在目标上实现远程代码执行。处理特制网页内容时的设备。
Predator由一家名为 Cytrox 的公司制造,类似于 NSO Group 的 Pegasus,使客户能够监视感兴趣的目标并从受感染的设备中获取敏感数据。它是名为 Intellexa Alliance 的间谍软件供应商联盟的一部分,于 2023 年 7 月被美国政府列入黑名单,理由是“助长镇压和其他侵犯人权活动”。
该漏洞托管在名为 sec-flare[.]com 的域名上,据说是在 Eltantawy 被重定向到名为 c.betly[.]me 的网站后通过使用位于 Sandvine 的 PacketLogic 中间盒的复杂网络注入攻击而传播的。埃及电信和沃达丰埃及之间的链路。
“目标网站的主体包括两个 iframe,ID“if1”包含明显良性诱饵内容(在本例中是指向不包含间谍软件的 APK 文件的链接),ID“if2”是包含 Predator 感染链接的不可见 iframe托管在 sec-flare[.]com 上,”公民实验室表示。
Google TAG 研究员 Maddie Stone 将其描述为中间对手 (AitM) 攻击,利用 HTTP(而不是 HTTPS)访问网站来拦截并迫使受害者访问不同的网站。由威胁行为者运营的网站。
“在这次活动中,如果目标访问任何‘http’网站,攻击者就会注入流量,悄悄地将其重定向到 Intellexa 网站 c.betly[.]me,”Stone 解释道。“如果用户是预期的目标用户,则该网站会将目标重定向到漏洞利用服务器 sec-flare[.]com。”
Eltantawy 在 2021 年 9 月、2023 年 5 月和 2023 年 9 月收到了三条短信,这些短信伪装成来自 WhatsApp 的安全警报,敦促 Eltantawy 单击链接以终止来自声称的 Windows 设备的可疑登录会话。
虽然这些链接与上述域的指纹不匹配,但调查显示,在 Eltantawy 阅读 2021 年 9 月发送的消息后大约 2 分 30 秒,Predator 间谍软件就安装在设备上。
准备好应对新的人工智能驱动的网络安全挑战了吗?参加我们与 Zscaler 合作的富有洞察力的网络研讨会,以应对网络安全中生成式人工智能日益增长的威胁。
今天参加
他还于2023年6月24日和2023年7月12日收到两条WhatsApp消息,其中一名自称为国际人权联合会(FIDH)工作的个人就一篇指向sec-flare网站的文章征求了他的意见[.]com。这些消息未被阅读。
谷歌 TAG 表示,它还检测到一个利用链,该漏洞链将 Chrome 网络浏览器中的远程代码执行缺陷 (CVE-2023-4762) 武器化,以使用两种方法在 Android 设备上交付 Predator:AitM 注入和通过直接发送到的一次性链接目标。
CVE-2023-4762是 V8 引擎中的一个类型混淆漏洞,于 2023 年 8 月 16 日被匿名报告,并于 2023 年 9 月 5 日被 Google修补,尽管这家互联网巨头评估 Cytrox/Intellexa 可能利用该漏洞作为零日。
根据 NIST 国家漏洞数据库 (NVD) 的简要描述,CVE-2023-4762 涉及“116.0.5845.179 之前的 Google Chrome 中的 V8 中的类型混淆,允许远程攻击者通过精心设计的 HTML 页面执行任意代码” ”。
最新的调查结果除了强调针对民间社会滥用监视工具外,还强调了电信生态系统中的盲点,这些盲点可被用来拦截网络流量并将恶意软件注入目标设备。
“尽管近年来在‘加密网络’方面取得了巨大进步,但用户仍然偶尔会访问没有 HTTPS 的网站,并且一次非 HTTPS 网站访问可能会导致间谍软件感染,”公民实验室表示。
建议因“身份或行为”而面临间谍软件威胁的用户保持设备最新状态,并在 iPhone、iPad 和 Mac 上启用锁定模式,以避免此类攻击。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/predator-software-exploits-zero-day-vulnerability-attack.html
