Casus Yazılım Satıcısı Nadir iOS İstismar Zinciriyle Mısırlı Kuruluşları Hedefliyor



İsrailli bir gözetim yazılımı şirketi, iPhone’lar için bir istismar zinciri geliştirmek amacıyla Apple’ın geçen hafta açıklanan üç sıfır gün güvenlik açığını ve Android’leri istismar etmek için Chrome sıfır gün güvenlik açığını Mısırlı kuruluşlara yönelik yeni bir saldırıda kullandı.

Google’ın Tehdit Analiz Grubu’nun (TAG) yakın tarihli bir raporuna göre, kendisini “Intellexa” olarak adlandıran şirket, istismar zinciri aracılığıyla elde ettiği özel erişimi, Mısır’daki isimsiz hedeflere karşı kendi imzası olan “Predator” casus yazılımını yüklemek için kullandı.

TAG’a göre Predator ilk olarak son yıllarda Intellexa çatısı altına giren bir dizi casus yazılım geliştiricisinden biri olan Cytrox tarafından geliştirildi. Şirketin bilinen bir tehdit olduğu biliniyor: Intellexa daha önce Predator’ı 2021’de Mısır vatandaşlarına karşı kullanmıştı.

Intellexa’nın Mısır’daki iPhone enfeksiyonları, http sitelerine erişmeye çalışan kullanıcıları yakalayan ortadaki adam (MITM) saldırılarıyla başladı (şifreli https istekleri bağışıktı).

TAG araştırmacıları e-posta yoluyla şunu belirtiyor: “MITM enjeksiyonunun kullanılması, saldırgana, belirli bir bağlantıya tıklamak, bir belgeyi açmak vb. gibi tipik bir eylemi gerçekleştirmek için kullanıcıya güvenmek zorunda olmadığı bir yetenek sağlar.” “Bu, sıfır tıklamalı saldırılara benzer, ancak sıfır tıklamalı saldırı yüzeyinde bir güvenlik açığı bulmak zorunda değilsiniz.”

“Bu, ticari gözetleme satıcılarının neden olduğu zararların ve bunların yalnızca bireylere değil, genel olarak topluma yönelik oluşturduğu tehditlerin bir başka örneğidir” diye eklediler.

iOS’ta 3 Sıfır Gün, 1 Saldırı Zinciri

MITM kumarı kullanılarak kullanıcılar, saldırganın kontrolündeki bir siteye yönlendirildi. Buradan, tuzağa düşürülen kullanıcı amaçlanan hedefse (her saldırı yalnızca belirli bireyleri hedefliyorsa), istismarın tetikleneceği ikinci bir alana yönlendirileceklerdi.

Intellexa’nın istismar zinciri, iOS 17.0.1’den itibaren yamalı olan üç sıfır gün güvenlik açığını içeriyordu. Safari’de bir uzaktan kod yürütme (RCE) hatası olan CVE-2023-41993 olarak izleniyorlar; CVE-2023-41991 — PAC bypassına izin veren bir sertifika doğrulama sorunu; ve CVE-2023-41992 — aygıt çekirdeğinde ayrıcalık yükseltmeye olanak tanır.

Üç adımın tamamı tamamlandıktan sonra, küçük bir ikili dosya Predator kötü amaçlı yazılımının bırakılıp bırakılmayacağını belirleyecekti.

“iOS için tam bir sıfır gün istismar zincirinin bulunması, saldırganlar için şu anda en ileri teknolojilerin öğrenilmesi açısından tipik olarak yeni bir şey. Sıfır günlük bir istismarın serbest ortamda yakalandığı her defasında, bu, saldırganlar için bir başarısızlık durumudur; bunu yapmazlar.” Araştırmacılar e-postada, hangi güvenlik açıklarına sahip olduklarını ve istismarlarının nasıl çalıştığını bilmemizi istemiyorlar” dedi. “Güvenlik ve teknoloji sektörü olarak, bu istismarlar hakkında öğrenebildiğimiz kadar çok şey öğrenmek ve böylece yeni bir istismar yaratmalarını daha da zorlaştırmak bizim görevimiz.”

Android’de Benzersiz Bir Güvenlik Açığı

Intellexa, iOS’un yanı sıra MITM ve doğrudan hedeflere gönderilen tek seferlik bağlantılar aracılığıyla Android telefonları da hedef aldı.

Bu sefer yalnızca bir güvenlik açığına ihtiyaç vardı: CVE-2023-4762, yüksek önem derecesine sahip ancak CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 8,8 puan aldı. Kusur Google Chrome’da mevcut ve saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla ana makinede rastgele kod yürütmesine olanak tanıyor. Bir güvenlik araştırmacısı tarafından bağımsız olarak bildirilen ve 5 Eylül itibarıyla yama uygulanan Google TAG, Intellexa’nın daha önce bu güvenlik açığını sıfır gün olarak kullandığına inanıyor.

İyi haber şu ki, Google TAG’a göre bulgular olası saldırganları çizim tahtasına geri gönderecek.

Araştırmacılar, “Saldırganların artık sıfır gün açıklarından dördünü değiştirmek zorunda kalacaklar, bu da Predator’ı iPhone’lara yükleme yeteneklerini sürdürmek için yeni açıkları satın almaları veya geliştirmeleri gerektiği anlamına geliyor.” diye bir e-posta gönderdiler. “Onların istismarları her zaman vahşi doğada yakalandığında, saldırganların parasına, zamanına ve kaynaklarına mal olur.”



Source link