Gần đây, các nhà nghiên cứu từ Citizen Lab và nhóm Threat Analysis Group (TAG) của Google đã tiết lộ rằng ba lỗ hổng zero-day của Apple đã được vá trong việc cài đặt phần mềm gián điệp Predator của Cytrox trên các thiết bị ở Ai Cập.
Apple tuần này đã phát hành các bản cập nhật bảo mật khẩn cấp để vá ba lỗ hổng zero-day mới (CVE-2023-41993, CVE-2023-41991, CVE-2023-41992) được khai thác trong các cuộc tấn công thực tế.
Ba lỗ hổng này đã được phát hiện bởi Bill Marczak của Citizen Lab tại Trường Munk thuộc Đại học Toronto và Maddie Stone của nhóm Threat Analysis Group của Google. Hai nhóm nghiên cứu đã phát hiện nhiều lỗ hổng zero-day được khai thác trong các sản phẩm của Apple, nhằm tấn công các cá nhân nổi tiếng như các chính trị gia đối lập, nhà hoạt động dân chủ và nhà báo.
CVE-2023-41993 là lỗi thực thi mã tùy ý tồn tại trong Webkit. Kẻ tấn công có thể kích hoạt lỗ hổng này bằng cách lừa mục tiêu truy cập vào nội dung web được tạo ra đặc biệt để thực thi mã tùy ý. Apple đã vá lỗi này bằng cách cải thiện kiểm tra.
Lỗ hổng zero-day thứ hai, được theo dõi dưới dạng CVE-2023-41991, tồn tại trong Security framework. Kẻ tấn công có thể khai thác lỗ hổng này để bypass việc xác minh chữ ký bằng các ứng dụng độc hại. Công ty đã vá lỗ hổng này bằng cách sửa một vấn đề xác minh chứng chỉ.
Lỗ hổng zero-day thứ ba, được theo dõi dưới dạng CVE-2023-41992, tồn tại trong Kernel Framework. Một kẻ tấn công cục bộ có thể kích hoạt các lỗ hổng này để tăng quyền đặc quyền của mình. Apple đã vá lỗ hổng này bằng cách cải thiện kiểm tra.
Trong report được công bố, Citizen Lab và nhóm Threat Analysis Group (TAG) của Google cho biết các nhà tấn công đã khai thác các lỗ hổng zero-day này để tấn công cựu thành viên Quốc hội Ai Cập Ahmed Eltantawy sau khi ông tuyên bố tranh cử tổng thống năm 2024.
Nhóm nhà nghiên cứu cho biết kẻ tấn công đã cố gắng tấn công vào thiết bị của Eltantawy từ tháng 5 đến tháng 9 năm 2023. Các nhà tấn công đã gửi tin nhắn SMS và WhatsApp giả mạo cho nạn nhân.
Trong quá trình điều tra, chúng tôi đã làm việc với nhóm Threat Analysis Group (TAG) của Google để thu được chuỗi khai thác lỗ hổng zero-day trên iPhone (CVE-2023-41991, CVE-2023-41992, CVE-2023-41993) được thiết kế để cài đặt phần mềm gián điệp Predator trên các phiên bản iOS qua 16.6.1. Chúng tôi cũng đã thu được giai đoạn đầu tiên của phần mềm gián điệp, có những đặc điểm tương đồng đáng chú ý với mẫu phần mềm gián điệp Predator của Cytrox chúng tôi thu được vào năm 2021. Chúng tôi xác định phần mềm gián điệp này là Predator của Cytrox với mức độ tin cậy cao.
Các nhà nghiên cứu TAG của Google cung cấp thông tin về chuỗi khai thác iOS được thực hiện bởi các kẻ tấn công sau khi mục tiêu bị chuyển hướng đến các trang web được tạo ra đặc biệt. Lỗ hổng CVE-2023-41993 được khai thác để đạt được thực thi mã từ xa ban đầu trong trình duyệt Safari, sau đó sử dụng vấn đề CVE-2023-41991 để bypass việc xác minh chữ ký, và lỗ hổng CVE-2023-41992 được sử dụng để tăng quyền đặc quyền lên Kernel.
Chuỗi khai thác cho phép kẻ tấn công chạy một binary nhỏ để xác định xem có cài đặt đầy đủ phần mềm gián điệp Predator hay không. Các chuyên gia TAG cho biết họ không thể thu thập được toàn bộ phần mềm gián điệp Predator.
“Nhiều nhóm tấn công khác đã sử dụng các lỗ hổng zero-day này để tấn công các thiết bị Android ở Ai Cập. TAG đã quan sát thấy các lỗ hổng này được cung cấp theo hai cách khác nhau: thông qua MITM injection và qua các liên kết một lần gửi trực tiếp cho mục tiêu. Chúng tôi chỉ thu được lỗ hổng thực thi mã từ xa renderer ban đầu dành cho Chrome, khai thác CVE-2023-4762.” theo phân tích được công bố bởi TAG của Google.
Citizen Lab liên kết vụ tấn công với chính phủ Ai Cập, được biết là khách hàng của Cytrox. Các nhà nghiên cứu cũng nhận thấy rằng phần mềm giám sát được cung cấp thông qua network injection từ một thiết bị vật lý đặt tại Ai Cập.
Đây không phải lần đầu tiên điện thoại của Eltantawy bị nhiễm phần mềm gián điệp Predator của Cytrox. Lần đầu tiên iPhone của Eltantawy bị nhiễm phần mềm gián điệp Predator là vào tháng 11 năm 2021.
Citizen Lab kêu gọi tất cả người dùng Apple cập nhật ngay lập tức các thiết bị của mình và kích hoạt Chế độ Lockdown.
“Dịch vụ này là một ví dụ khác về những lạm dụng gây ra bởi sự lan rộng của các nhà cung cấp giám sát thương mại và những rủi ro nghiêm trọng đối với an ninh của người dùng trực tuyến.” kết luận của nhà nghiên cứu nổi tiếng Maddie Stone từ TAG.
Theo dõi tôi trên Twitter: @securityaffairs và Facebook và Mastodon.
Pierluigi Paganini
(SecurityAffairs – hacking, Apple)
Nguồn: https://securityaffairs.com/151218/mobile-2/apple-chrome-zero-days-predator-spyware.html
Recently patched Apple and Chrome zero-days exploited to infect devices in Egypt with Predator spyware
September 22, 2023
Citizen Lab and Google’s TAG revealed that the three recently patched Apple zero-days were used to install Cytrox Predator spyware.
Researchers from the Citizen Lab and Google’s Threat Analysis Group (TAG) revealed that the three Apple zero-days addressed this week were used as part of an exploit to install Cytrox Predator spyware.
Apple this week released emergency security updates to address three new zero-day vulnerabilities (CVE-2023-41993, CVE-2023-41991, CVE-2023-41992) that have been exploited in attacks in the wild.
The three flaws were discovered by Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group. The two research teams have already discovered multiple actively exploited zero-days in Apple products that were exploited in targeted attacks against high-profile individuals, such as opposition politicians, dissidents, and journalists.
CVE-2023-41993 is an arbitrary code execution issue that resides in the Webkit.
An attacker can trigger the flaw by tricking the victim into visiting specially crafted web content that may lead to arbitrary code execution. The IT giant addressed the flaw with improved checks.
The second zero-day flaw, tracked as CVE-2023-41991, resides in the Security framework. An attacker can exploit this vulnerability to bypass signature validation using malicious apps. The company fixed the vulnerability by fixing a certificate validation issue.
The third zero-day, tracked as CVE-2023-41992, resides in the Kernel Framework. A local attacker can trigger the flaws to elevate their privileges. Apple fixed the flaw with improved checks.
“Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.” reads the advisory published by the company.
According to Citizen Lab and Google’s Threat Analysis Group (TAG) researchers, threat actors exploited the zero days to target former Egyptian MP Ahmed Eltantawy after he announced his candidacy in the presidential election in 2024.
Threat actors attempted to hack Eltantawy’s device between May and September 2023. The attackers sent decoy SMS and WhatsApp messages to the victim.
“In August and September 2023, Eltantawy’s Vodafone Egypt mobile connection was persistently selected for targeting via network injection; when Eltantawy visited certain websites not using HTTPS, a device installed at the border of Vodafone Egypt’s network automatically redirected him to a malicious website to infect his phone with Cytrox’s Predator spyware.” reads the report published by Citizen Lab. “During our investigation, we worked with Google’s Threat Analysis Group (TAG) to obtain an iPhone zero-day exploit chain (CVE-2023-41991, CVE-2023-41992, CVE-2023-41993) designed to install Predator on iOS versions through 16.6.1. We also obtained the first stage of the spyware, which has notable similarities to a sample of Cytrox’s Predator spyware we obtained in 2021. We attribute the spyware to Cytrox’s Predator spyware with high confidence.”
Google TAG researchers provided details about the iOS exploit chain that was executed by the attackers after the target was redirected to specially crafted web pages. The CVE-2023-41993 flaw is exploited to gain initial remote code execution (RCE) in the Safari browser, then the CVE-2023-41991 issue is used to bypass signature validation, and the vulnerability CVE-2023-41992 is used to escalate privilege to Kernel.
The exploit chain allows attackers to run a small binary to determine whether or not to install the full Predator implant. TAG experts explained that they were unable to capture the full Predator implant.
“The attacker also had an exploit chain to install Predator on Android devices in Egypt. TAG observed these exploits delivered in two different ways: the MITM injection and via one-time links sent directly to the target. We were only able to obtain the initial renderer remote code execution vulnerability for Chrome, which was exploiting CVE-2023-4762.” reads the analysis published by Google TAG. “We assess that Intellexa was also previously using this vulnerability as a 0-day.”
Citizen Lab linked the attacks to the Egyptian government, which is known to be Cytrox’s customer. The researchers also noticed that the surveillance software was delivered via network injection from a device located physically in Egypt.
It was not the first time that the Eltantawy’s phone was infected with Cytrox’s Predator spyware. The first time that Eltantawy’s iPhone was infected with the Cytrox spyware was in November 2021.
Citizen Lab urged all Apple users to update their devices immediately and enable Lockdown Mode.
“This campaign is yet another example of the abuses caused by the proliferation of commercial surveillance vendors and their serious risk to the safety of online users.” concluded the popular TAG researchers Maddie Stone.
Follow me on Twitter: @securityaffairs and Facebook and Mastodon
(SecurityAffairs – hacking, Apple)
[ad_2]
