Predator Spyware IOCs - Part 2

Spyware IOC
Опубликовано

Citizen Lab и Google Threat Analysis Group (TAG) сообщают, что с мая по сентябрь 2023 года три уязвимости нулевого дня, исправленные Apple на прошлой неделе, использовались в составе цепочки эксплоитов для распространения шпионского Predator компании Cytrox.

  • В период с мая по сентябрь 2023 г. бывший депутат египетского парламента Ахмед Элтантауи подвергся атаке шпионской программы Predator компании Cytrox через ссылки, отправленные по SMS и WhatsApp. Целевые действия были предприняты после того, как Элтантауи публично заявил о своих планах баллотироваться в президенты на выборах в Египте в 2024 году.
  • В августе и сентябре 2023 года мобильное соединение Элтантауи, принадлежащее компании Vodafone Egypt, постоянно выбиралось для атаки с помощью сетевых инъекций; когда Элтантауи посещал определенные сайты, не использующие HTTPS, устройство, установленное на границе сети Vodafone Egypt, автоматически перенаправляло его на вредоносный сайт для заражения телефона шпионской программой Cytrox's Predator.
  • В ходе расследования Citizen Lab совместно с группой анализа угроз (Threat Analysis Group, TAG) Google получили цепочку эксплойтов нулевого дня для iPhone (CVE-2023-41991, CVE-2023-41992, CVE-2023-41993), предназначенную для установки Predator на iOS версий до 16.6.1. Мы также получили первую стадию шпионской программы, которая имеет заметное сходство с образцом шпионской программы Predator компании Cytrox, полученным нами в 2021 году. Citizen Lab с высокой степенью уверенности относим эту шпионскую программу к шпионской программе Predator компании Cytrox.
  • Учитывая, что Египет является известным клиентом шпионской программы Predator компании Cytrox, а шпионская программа была доставлена посредством сетевой инъекции с устройства, физически находящегося на территории Египта, мы с высокой степенью уверенности приписываем атаку сетевой инъекции правительству Египта.
  • Телефон Элтантауи был дополнительно заражен шпионской программой Predator компании Cytrox за два года до этого, в сентябре 2021 года через текстовое сообщение, содержащее ссылку на сайт Predator.

Indicators of Compromise

Domains

  • almal-news.com
  • chat-support.support
  • cibeg.online
  • notifications-sec.com
  • wa-info.com
  • whatssapp.co
  • wts-app.info
Похожие записи:
  1. PREDATOR Spyware IOCs
  2. RatMilad Spyware IOCs
  3. BouldSpy Spyware IOCs
  4. Predator the Thief Stealer IOCs
  5. BadBazaar Spyware IOCs
Citizen Lab CVE-2023-41991 CVE-2023-41992 CVE-2023-41993 PREDATOR Spyware
Добавить комментарий