Ques/Help/Req Свежие 0-day уязвимости в устройствах Apple применялись для атак спайвари Predator

[XakeR]

Специалисты из Citizen Lab и Google Threat Analysis Group (TAG) сообщают, что с мая по сентябрь 2023 года три уязвимости нулевого дня, исправленные Apple на прошлой неделе, использовались в составе цепочки эксплоитов для распространения шпионского Predator компании Cytrox.

Напомним, что одна проблема была найдена в браузерном движке WebKit (CVE-2023-41993), а другая в составе Security Framework (CVE-2023-41991), что позволяло злоумышленникам обходить проверку подписи с помощью вредоносных приложений, а также выполнять произвольный код через специально подготовленные вредоносные веб-страницы.

Третья уязвимость (CVE-2023-41992) обнаружена в коде Kernel Framework, который предоставляет API, а также поддержку расширений ядра и kernel-resident драйверов устройств. Локальные злоумышленники могли использовать этот баг для повышения привилегий.

Как теперь рассказывают эксперты, проблемы CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 использовались хакерами в атаках с использованием фальшивых SMS и сообщений в WhatsApp (с их помощью жертву пытались заманить на вредоносные сайты), нацеленных на египетского журналиста и политического деятеля Ахмеда Тантави, после того как он заявил о планах баллотироваться на пост президента в 2024 году.

«В августе и сентябре 2023 года мобильное соединение Vodafone Egypt Тантави постоянно использовалось для таргетированых атак с помощью сетевых инъекций. Когда Тантави посещал определенные сайты, не использующие HTTPS, устройство, установленное на периметре сети Vodafone Egypt, автоматически перенаправляло его на вредоносный сайт для заражения телефона шпионской программой Predator компании Cytrox», — пишут исследователи Citizen Lab.

По словам экспертов, в атаке было задействовано оборудование, произведенное компанией Sandvine. Аппаратное обеспечение, продаваемое под брендом PacketLogic, находилось в сотовой сети, к которой получал доступ целевой iPhone, и отслеживало его трафик.

При этом исследователи не смогли точно установить, находилось ли middlebox-устройство на внешней границе сети Telecom Egypt, которая полностью принадлежит государству, или в сети Vodafone Egypt, контрольный пакет акций которой принадлежит Vodacom.


На iOS-устройствае цели эксплоит использовал уязвимость CVE-2023-41993 для удаленного выполнения кода в Safari с помощью вредоносных веб-страниц, ошибку CVE-2023-41991 для обхода проверки подписи и CVE-2023-41992 для повышения привилегий.

Цепочка эксплоитов запускалась автоматически после переадресации, развертывая и запуская вредоносный банрник, который определял, следует ли устанавливать шпионское ПО на скомпрометированное устройство.

Кроме того, аналитики Google TAG отмечают, что злоумышленники использовали отдельную цепочку эксплоитов для установки спайвари Predator на Android-устройства в Египте, используя для этого уязвимость CVE-2023-4762 в Chrome (исправленную 5 сентября 2023 года) для удаленного выполнения кода.

«ИБ-исследователь сообщил об этой ошибке через программу Chrome Vulnerability Rewards, и она была исправлена 5 сентября. По нашим данным, компания Intellexa [занимается разработкой легального спайвари] тоже ранее использовала эту уязвимость в качестве нулевого дня», — пишет специалистка Google TAG Мэдди Стоун (Maddie Stone)

В Citizen Lab призывают всех пользователей Apple, находящихся в зоне риска, установить экстренные патчи Apple и включить режим Lockdown, чтобы предотвратить возможные атаки.

«Учитывая, что Египет является известным клиентом компании Cytrox и использует шпионское ПО Predator, а шпионское ПО доставлялось посредством сетевой инъекции с устройства, физически находящегося на территории Египта, мы с высокой степенью уверенности связываем эту атаку с египетскими властями», — добавляют в Citizen Lab.

 

[AI G]

Уязвимости нулевого дня, обнаруженные Citizen Lab и Google Threat Analysis Group (TAG) и исправленные Apple на прошлой неделе, использовались злоумышленниками в атаках, направленных на египетского журналиста и политика Ахмеда Тантави. Эти атаки были осуществлены с помощью фальшивых SMS и сообщений в WhatsApp, направленных на заманить жертву на вредоносные сайты.

В рамках этих атак были использованы три уязвимости. Первая уязвимость (CVE-2023-41993) была обнаружена в браузерном движке WebKit и позволяла злоумышленникам выполнять произвольный код через специально подготовленные вредоносные веб-страницы. Вторая уязвимость (CVE-2023-41991) была обнаружена в Security Framework и позволяла обходить проверку подписи с помощью вредоносных приложений. Третья уязвимость (CVE-2023-41992) была обнаружена в коде Kernel Framework и позволяла локальным злоумышленникам повышать привилегии.

Аналитики Citizen Lab указывают, что в атаке использовалось оборудование, произведенное компанией Sandvine, аппаратное обеспечение которой находилось в сотовой сети, к которой имел доступ целевой iPhone. Это оборудование отслеживало трафик и перенаправляло жертву на вредоносные сайты для заражения ее телефона шпионской программой Predator компании Cytrox.

Неясно, где именно находилось устройство для перехвата трафика - на внешней границе сети Telecom Egypt или в сети Vodafone Egypt. Однако, Citizen Lab связывает эту атаку с египетскими властями, учитывая, что Египет является клиентом компании Cytrox и использует ее шпионское ПО.

Кроме того, аналитики Google TAG сообщают, что в атаке была использована отдельная цепочка эксплоитов для установки Predator на Android-устройства. В этом случае использовалась уязвимость (CVE-2023-4762) в Chrome, которая была исправлена 5 сентября 2023 года.

Рекомендуется всем пользователям Apple, находящимся в зоне риска, установить экстренные патчи Apple и включить режим Lockdown, чтобы предотвратить возможные атаки.