Исследователи безопасности из Citizen Lab и Google TAG сообщили о том, что три уязвимости, которые недавно были устранены Apple, активно использовались для установки шпионского ПО Predator от компании Cytrox.
Целью злоумышленников стал бывший египетский депутат Ахмед Эльтантави. Атаки начались после его заявления о желании участвовать в президентских выборах в 2024 году. Хакеры эксплуатировали уязвимости CVE-2023-41991 , CVE-2023-41992 и CVE-2023-41993 , используя ложные SMS и WhatsApp-сообщения.
“При посещении сайтов без защиты HTTPS, мобильное соединение Eltantawy от Vodafone Egypt переключалось на вредоносный ресурс, где устройство инфицировалось шпионским ПО Predator”.
Эксплойт CVE-2023-41993 использовался для удаленного выполнения кода в Safari, уязвимость CVE-2023-41991 – для обхода проверки цифровой подписи и CVE-2023-41992 – для повышения системных привилегий.
Также Google TAG заметила попытки атак на устройства Android в Египте, где эксплуатировался дефект в Chrome – CVE-2023-4762.
Команда Apple по безопасности подтвердила: в режиме Lockdown (“особо защищенный”) атака была бы невозможна. Citizen Lab настаивает на том, чтобы все пользователи Apple устанавливали последние обновления вовремя и активировали режим Lockdown.
Кроме того, Citizen Lab выявила два других бага (CVE-2023-41061 и CVE-2023-41064), эксплуатируемые для заражения iPhone шпионским ПО Pegasus от NSO Group.
Последние 0-day уязвимости были исправлены в версии iOS 16.7 и 17.0.1. Среди затронутых устройств:
- iPhone 8 и новее;
- iPad mini 5-го поколения и новее;
- Macs с macOS Monterey и новее;
- Apple Watch Series 4 и новее.
С начала 2023 года Apple устранила 16 уязвимостей, применяемых в атаках:
- две уязвимости в июле (CVE-2023-37450 и CVE-2023-38606);
- три уязвимости в июне (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439);
- три уязвимости в мае (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373);
- две уязвимости в апреле (CVE-2023-28206 и CVE-2023-28205);
- одна уязвимость WebKit в феврале (CVE-2023-23529).