Citizen Lab ve Google'ın Tehdit Analiz Grubu (TAG) ile güvenlik araştırmacıları, Perşembe günü Apple tarafından yamalı üç sıfır günün Cytrox'un Predator casus yazılımını kurmak için istismar zincirinin bir parçası olarak istismar edildiğini ortaya koydu.
Mayıs ve Eylül 2023 arasında, saldırganlar, eski Mısır MP Ahmed Eltawy'yi hedeflemek için tuzak SMS ve WhatsApp mesajlarını kullanan saldırılarda böcekleri (CVE-2023-41992 ve CVE-2023-41992 ve CVE-2023-41993) sömürdü. 2024'te Mısır cumhurbaşkanlığı seçimlerine katılın.
Citizen Lab, "Ağustos ve Eylül 2023'te Eltantawy'nin Vodafone Mısır mobil bağlantısı, ağ enjeksiyonu yoluyla hedefleme için sürekli olarak seçildi."
"Eltantawy, Vodafone Mısır'ın ağının sınırına yüklenen bir cihaz olan HTTPS kullanmayan belirli web sitelerini ziyaret ettiğinde, telefonunu Cytrox'un Predator casus yazılımıyla enfekte etmek için otomatik olarak kötü niyetli bir web sitesine yönlendirdi."
İOS cihazlarında, saldırganların sıfır gün istismarı, Safari'de kötü niyetli hazırlanmış web sayfaları kullanılarak Safari'de ilk uzaktan kod yürütme (RCE) için CVE-2023-41993 kullandı, CVE-2023-41991 Boyasal İmza Validasyonu ve CVE-2023- 41992 Çekirdek ayrıcalık artışı için.
İstismar zinciri, yeniden yönlendirmeden sonra otomatik olarak tetiklendi, casus yazılım implantının tehlikeye atılan cihaza yüklenmesi gerekip gerekmediğini seçmek için tasarlanmış kötü amaçlı bir ikili olarak dağıtıldı ve çalıştırıldı.
Google Tag ayrıca, Mısır'daki Android cihazlarına Predator casus yazılımlarını bırakmak için ayrı bir istismar zinciri kullanan saldırganları da gözlemledi ve 5 Eylül'de yamalanan bir krom hatası olan CVE-2023-4762'den istismar etti-uzak kod yürütülmesi için sıfır gün.
Google Tag's Maddie Stone, "Bu hata, bir güvenlik araştırmacısı tarafından Chrome Güvenlik Açığı ödülleri programına zaten ayrı ayrı rapor edilmiş ve 5 Eylül'de yamalanmıştı. Intellexa'nın daha önce bu güvenlik açığını 0 gün olarak kullandığını değerlendiriyoruz." Dedi.
Apple'ın Güvenlik Mühendisliği ve Mimarlık Ekibi bugün iOS kilitleme modunun saldırıyı engelleyeceğini doğruladı.
Citizen Lab, tüm Apple kullanıcılarını Apple'ın acil durum güvenlik güncellemelerini yüklemeye ve bu istismar zincirinden yararlanan potansiyel saldırıları engellemeye kilitleme modunu etkinleştirmeye çağırdı.
Citizen Lab, "Mısır'ın Cytrox'un Predator casus yazılımının bilinen bir müşterisi olduğu ve casus yazılımların Mısır'da fiziksel olarak bulunan bir cihazdan ağ enjeksiyonu yoluyla teslim edildiği göz önüne alındığında, ağ enjeksiyon saldırısını Mısır hükümetine yüksek güvenle ilişkilendiriyoruz."
Citizen Lab Security Araştırmacılar, bu ayın başlarında acil durum güvenlik güncellemelerinde Apple tarafından karıştırılmış iki sıfır gün daha (CVE-2023-41061 ve CVE-2023-41061 ve CVE-2023-41064) açıkladı-başka bir sıfır tıkalı istismar zincirinin (dublajlı) bir parçası olarak istismar edildi. NSO Group'un Pegasus casus yazılımıyla tamamen yamalı iPhone'ları enfekte edin.
Apple, bir sertifika doğrulama sorununu ele alarak ve geliştirilmiş kontroller yoluyla üç sıfır gününü Perşembe günü iOS 16.7 ve 17.0.1'de düzeltti.
Etkilenen cihazların tam listesi çok çeşitli eski ve yeni cihaz modelleri içerir:
Ocak 2023'ten bu yana Apple, müşterilerini hedefleyen saldırılarda kullanılan toplam 16 sıfır güne hitap etti:
Cisa, govt ajanslarını casus yazılım saldırılarına karşı iPhone'ları güvence altına almaları konusunda uyarıyor
Apple Acil Durum Güncellemeleri Saldırılarda Sömürülen 3 Yeni Sıfır Gününü Düzelt
APT36 Eyalet Hacker'ları YouTube Uygulama Klonlarını Kullanarak Android Cihazları Enfekte
Apple Backports Blastpass eski iPhone'lara sıfır gün düzeltmesi
Google, saldırılarda sömürülen başka bir krom sıfır gün hatasını düzeltir
Kaynak: Bleeping Computer