Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Intellexa, Predator и цепочка zero-day эксплойтов CVE-2023-41993

14
3 мин
Кратко: несмотря на международные санкции и усиленный контроль, компания Intellexa сохраняет способность разрабатывать и применять эксплойты zero-day, используемые для установки шпионского ПО Predator. Анализ Google Threat Intelligence Group совместно с результатами расследования CitizenLab показывает, что атаки опираются на сложные цепочки эксплойтов — в том числе внутренне называемую «smack» — и задействуют уязвимость CVE-2023-41993 в браузере Safari. Выводы Google Threat Intelligence Group и исследование CitizenLab за 2023 год выявили целую цепочку эксплойтов, применявшуюся при целевых атаках на пользователях в Египте. Эта цепочка, известная внутри Intellexa как «smack», обеспечивала скрытую доставку и установку Predator на мобильные устройства. «Intellexa not only buys but also develops new zero-day exploits, demonstrating an ability to rapidly adapt and sustain operations for its clients.» Критическим компонентом первой стадии атаки стала уязвимость в браузере Apple Safari, зареги
Оглавление

Кратко: несмотря на международные санкции и усиленный контроль, компания Intellexa сохраняет способность разрабатывать и применять эксплойты zero-day, используемые для установки шпионского ПО Predator. Анализ Google Threat Intelligence Group совместно с результатами расследования CitizenLab показывает, что атаки опираются на сложные цепочки эксплойтов — в том числе внутренне называемую «smack» — и задействуют уязвимость CVE-2023-41993 в браузере Safari.

Что обнаружили исследователи

Выводы Google Threat Intelligence Group и исследование CitizenLab за 2023 год выявили целую цепочку эксплойтов, применявшуюся при целевых атаках на пользователях в Египте. Эта цепочка, известная внутри Intellexa как «smack», обеспечивала скрытую доставку и установку Predator на мобильные устройства.

«Intellexa not only buys but also develops new zero-day exploits, demonstrating an ability to rapidly adapt and sustain operations for its clients.»

Критическим компонентом первой стадии атаки стала уязвимость в браузере Apple Safari, зарегистрированная как CVE-2023-41993. Она позволяла выполнять произвольные операции чтения и записи в память, что в сочетании с фреймворком JSKit давало возможность выполнить машинный код на устройствах Apple.

Методы доставки и тактика

Исследователи описывают несколько ключевых векторов доставки эксплойтов:

  • отправка одноразовых ссылок напрямую целевым пользователям через end-to-end приложения для обмена зашифрованными сообщениями;
  • использование вредоносной рекламы (malvertising) на сторонних платформах для получения отпечатков браузера и перенаправления на серверы доставки эксплойтов;
  • комбинация эксплойтов zero-day в многоступенчатых цепочках, что усложняет обнаружение и анализ;
  • адаптация эксплойтов под конкретные версии ОС и браузеров, чтобы обойти механизмы песочницы и защиты.

Почему это опасно

Сценарий, при котором коммерческие разработчики эксплойтов не только закупают, но и создают собственные zero-day, увеличивает скорость и масштаб потенциальных атак. Такие цепочки позволяют обойти стандартные механизмы безопасности и установить продвинутые шпионские инструменты на устройства целей, зачастую без видимых следов для пользователя.

Международная реакция и усилия по противодействию

Международное сообщество и технологические компании предпринимают шаги по ограничению воздействия индустрии коммерческих шпионских инструментов. Среди заметных инициатив:

  • инициатива Pall Mall — попытка установить глобальные нормы и рамки для смягчения угроз от индустрии шпионских программ, в которой активно участвует Google;
  • правительственные меры, включая шаги США по ограничению экспорта и использования подобных инструментов;
  • усилия по обмену индикаторами компрометации (IoC) и совместной разработке контрмер в рамках сообщества кибербезопасности.

Технические контрмеры и рекомендации

Для повышения устойчивости к такого рода атакам исследователи и практики предлагают следующие меры:

  • регулярно обновлять операционные системы и браузеры — своевременные патчи устраняют публичные уязвимости;
  • усилить осторожность при переходе по ссылкам в сообщениях из неизвестных источников и в контексте подозрительных рекламных объявлений;
  • внедрять и поддерживать правила обнаружения, включая разработку и распространение сигнатур на базе YARA для выявления компонентов Predator и связанных эксплойтов;
  • развертывать многослойные решения — EDR, системе предотвращения вторжений, фильтрацию рекламы и threat intelligence;
  • поддерживать межорганизационное сотрудничество и оперативный обмен информацией о новых эксплойтах и тактиках злоумышленников.

Выводы

Случай с Intellexa иллюстрирует, что запретительные меры и санкции не снимают необходимость технической готовности: коммерческие игроки рынка эксплойтов продолжают развиваться и интегрировать сложные цепочки атак. В таких условиях комбинация международной политики, промышленной саморегуляции и практических мер защиты — от патч-менеджмента до разработки правил YARA — становится ключевой для сдерживания угроз и защиты прав человека.

Эксперты предупреждают: угроза не исчезнет сама по себе — требуется скоординированный ответ отрасли, властей и исследовательского сообщества.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Intellexa, Predator и цепочка zero-day эксплойтов CVE-2023-41993".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.