Apple 於2023 年9 月21 日解決的三個零日漏洞被用作iPhone 漏洞利用鏈的一部分,試圖在2023 年5 月至9 月期間向埃及前議員艾哈邁德·埃爾坦塔維( Ahmed Eltantawy) 傳播名為Predator 的間諜軟體。
實驗室表示:「埃爾坦塔維公開表示計劃在2024 年埃及選舉中競選總統後,就發生了這次襲擊。」實驗室高度自信地將這次襲擊歸咎於埃及政府,因為埃及政府是該商業間諜工具的已知客戶。
根據加拿大跨學科實驗室和谷歌威脅分析小組(TAG)進行的聯合調查,據稱該僱傭兵監視工具是透過簡訊和WhatsApp 上發送的連結傳遞的。
「2023 年8 月和9 月,Eltantawy 的Vodafone Egypt 行動連線持續選擇透過網路注入進行攻擊;當Eltantawy 造訪某些不使用HTTPS 的網站時,安裝在Vodafone Egypt 網路邊界的裝置會自動將他重定向到惡意網站,從而感染他的網站。」手機上安裝了Cytrox 的Predator 間諜軟體,」公民實驗室的研究人員說。
此漏洞利用鏈利用了三個漏洞:CVE-2023-41991、CVE-2023-41992 和CVE-2023-41993,這可能允許惡意攻擊者繞過憑證驗證、提升權限並在目標上實現遠端程式碼執行。處理特製網頁內容時的設備。
Predator由一家名為Cytrox 的公司製造,類似於NSO Group 的Pegasus,使客戶能夠監視感興趣的目標並從受感染的設備中獲取敏感資料。它是名為Intellexa Alliance 的間諜軟體供應商聯盟的一部分,於2023 年7 月被美國政府列入黑名單,理由是「助長鎮壓和其他侵犯人權活動」。
該漏洞託管在名為sec-flare[.]com 的網域上,據說是在Eltantawy 被重定向到名為c.betly[.]me 的網站後透過使用位於Sandvine 的PacketLogic 中間盒的複雜網路注入攻擊而傳播的。埃及電信和沃達豐埃及之間的連結。
「目標網站的主體包括兩個iframe,ID「if1」包含明顯良性誘餌內容(在本例中是指向不包含間諜軟體的APK 檔案的連結),ID「if2」是包含Predator 感染連結的不可見iframe託管在sec-flare[.]com 上,」公民實驗室表示。
Google TAG 研究員Maddie Stone 將其描述為中間對手(AitM) 攻擊,利用HTTP(而不是HTTPS)訪問網站來攔截並迫使受害者訪問不同的網站。由威脅行為者經營的網站。
「在這次活動中,如果目標訪問任何'http'網站,攻擊者就會注入流量,悄悄地將其重定向到Intellexa 網站c.betly[.]me,」Stone 解釋道。 “如果用戶是預期的目標用戶,則該網站會將目標重定向到漏洞利用伺服器sec-flare[.]com。”
Eltantawy 在2021 年9 月、2023 年5 月和2023 年9 月收到了三條短信,這些短信偽裝成來自WhatsApp 的安全警報,敦促Eltantawy 點擊鏈接以終止來自聲稱的Windows 設備的可疑登錄會話。
雖然這些連結與上述網域的指紋不匹配,但調查顯示,在Eltantawy 閱讀2021 年9 月發送的訊息後大約2 分30 秒,Predator 間諜軟體就安裝在裝置上。
準備好應對新的人工智慧驅動的網路安全挑戰了嗎?參加我們與Zscaler 合作的富有洞察力的網路研討會,以應對網路安全中生成式人工智慧日益增長的威脅。
今天參加
他還在2023年6月24日和2023年7月12日收到兩條WhatsApp訊息,其中一名自稱為國際人權聯合會(FIDH)工作的個人就一篇指向sec-flare網站的文章徵求了他的意見[.]com。這些訊息未被閱讀。
GoogleTAG 表示,它還偵測到一個利用鏈,該漏洞鏈將Chrome 網路瀏覽器中的遠端程式碼執行缺陷(CVE-2023-4762) 武器化,以使用兩種方法在Android 裝置上交付Predator:AitM 注入和透過直接發送到的一次性連結目標。
CVE-2023-4762是V8 引擎中的一個類型混淆漏洞,於2023 年8 月16 日被匿名報告,並於2023 年9 月5 日被Google修補,儘管這家互聯網巨頭評估Cytrox/Intellexa 可能利用該漏洞作為零日。
根據NIST 國家漏洞資料庫(NVD) 的簡要描述,CVE-2023-4762 涉及「116.0.5845.179 之前的Google Chrome 中的V8 中的類型混淆,允許遠端攻擊者透過精心設計的HTML 頁面執行任意程式碼」 」。
最新的調查結果除了強調針對民間社會濫用監視工具外,還強調了電信生態系統中的盲點,這些盲點可被用來攔截網路流量並將惡意軟體注入目標設備。
「儘管近年來在『加密網路』方面取得了巨大進步,但用戶仍然偶爾會訪問沒有HTTPS 的網站,並且一次非HTTPS 網站訪問可能會導致間諜軟體感染,」公民實驗室表示。
建議因「身分或行為」而面臨間諜軟體威脅的使用者保持裝置最新狀態,並在iPhone、iPad 和Mac 上啟用鎖定模式,以避免此類攻擊。
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/predator-software-exploits-zero-day-vulnerability-attack.html
