Come sono stati sfruttati i 3 0day di Apple dallo spyware Predator. Tra spionaggio, 0day e apparecchiature di rete

Redazione RHC : 26 Settembre 2023 08:51

Come abbiamo già riportato recentemente, tre nuove vulnerabilità 0day sono state isolate sui dispositivi Apple. Gli scienziati di Citizen Lab e Google Threat Analysis Group (TAG) riferiscono che da maggio a settembre 2023, queste 3 vulnerabilità zero-day corrette da Apple la scorsa settimana sono state utilizzate come parte di una catena di exploit per distribuire anche lo spyware Predator di Cytrox.

Ricordiamo che è stato riscontrato un problema nel motore del browser WebKit (CVE-2023-41993) e un altro nel Security Framework (CVE-2023-41991), che consentivano agli aggressori di aggirare la verifica della firma utilizzando applicazioni dannose, nonché di eseguire codice arbitrario attraverso delle pagine Web dannose appositamente preparate.

La terza vulnerabilità, il CVE-2023-41992 invece fornisce l’API, nonché il supporto per le estensioni del kernel e i driver di dispositivo residenti nel kernel. Gli aggressori locali potrebbero utilizzare questo bug per aumentare i loro privilegi.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Come dicono ora gli esperti, i problemi relativi alle 3 CVE, quindi CVE-2023-41991, CVE-2023-41992 e CVE-2023-41993 sono stati utilizzati in attacchi mirati attraverso messaggi WhatsApp falsi (con il loro aiuto hanno cercato di attirare la vittima su siti dannosi) al giornalista e politico egiziano Ahmed Tantawi, dopo aver annunciato l’intenzione di candidarsi alla presidenza nel 2024.

“Nei mesi di agosto e settembre 2023, la connessione mobile Tantawi di Vodafone Egypt è stata continuamente utilizzata per attacchi mirati di iniezione di rete. Quando Tantawi visitava determinati siti che non utilizzavano HTTPS, un dispositivo installato sul perimetro della rete di Vodafone Egypt lo reindirizzava automaticamente a un sito dannoso per infettare il telefono con lo spyware Predator di Cytrox”, hanno scritto i ricercatori di Citizen Lab.

Secondo gli esperti, l’attacco ha coinvolto delle apparecchiature prodotte dalla Sandvine. L’hardware, venduto con il marchio PacketLogic, si trovava sulla rete cellulare a cui accedeva l’iPhone preso di mira e ne monitorava il traffico.

Tuttavia, i ricercatori non sono stati in grado di determinare con precisione se il dispositivo fosse situato all’estremità esterna della rete Telecom Egypt, che è interamente di proprietà dello Stato, o sulla rete Vodafone Egypt, di cui la maggioranza è posseduta da Vodacom.

Sul dispositivo iOS del bersaglio, l’exploit utilizzava il CVE-2023-41993 per l’esecuzione di codice remoto in Safari tramite pagine Web dannose, mentre usata il CVE-2023-41991 per aggirare la verifica della firma e il CVE-2023-41992 per effettuare l’escalation dei privilegi.

La catena di exploit verrebbe eseguita automaticamente dopo il reindirizzamento, distribuendo ed eseguendo un banner dannoso che determinava se lo spyware dovesse essere installato sul dispositivo compromesso.

Inoltre, gli analisti di Google TAG notano che gli aggressori hanno utilizzato una catena separata di exploit per installare lo spyware Predator sui dispositivi Android in Egitto, utilizzando la vulnerabilità CVE-2023-4762 in Chrome (con patch del 5 settembre 2023) per l’esecuzione di codice in modalità remota.

“Un ricercatore di sicurezza ha segnalato questo bug tramite il programma Chrome Vulnerability Rewards ed è stato risolto il 5 settembre. Secondo i nostri dati, anche la società Intellexa, ha già utilizzato questa vulnerabilità come zero-day”, scrive Maddie Stone, specialista di Google TAG.

Citizen Lab esorta tutti gli utenti Apple a rischio a installare le patch di emergenza Apple e ad abilitare la modalità Lockdown per prevenire possibili attacchi.

“Dato che l’Egitto è un noto cliente di Cytrox e utilizza lo spyware Predator, e lo spyware è stato distribuito tramite iniezione di rete da un dispositivo fisicamente situato in Egitto, abbiamo un alto grado di fiducia nell’attribuire questo attacco alle autorità egiziane”, aggiunge Citizen Lab. .

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli