依旧是iphone间谍软件的话题。
2024年4月至6月,在安哥拉记者联盟十年任期即将结束之际,记者特谢拉·坎迪多(Teixeira Cândido)的iPhone手机收到了一系列来自未知发件人的WhatsApp消息,该发件人使用的是安哥拉手机号码。
攻击者试图通过声称代表一群关注安哥拉社会经济发展的年轻学生,并使用一个熟悉的安哥拉名字作为WhatsApp个人资料名称来博取信任。
特谢拉与攻击者的对话始于 2024 年 4 月 29 日。攻击者最初发送的 WhatsApp 消息中没有任何恶意链接。这很可能是攻击者试图建立信任的又一次尝试,因为如果潜在目标意外收到来自陌生联系人的链接,他们可能会产生怀疑。
2024年5月3日,攻击者发送了第一个恶意链接,目的是感染特谢拉的手机。在接下来的几天和几周里,攻击者继续发送更多恶意链接,每个链接都伪装成新闻文章或看似无害的网站,以及许多后续消息,诱使这位记者打开这些链接(图1、2和3)。
经过攻击者重复发送不同主题的信息后,受害者总算点击了其中一条链接。通过对链接及其关联域名的取证分析,所有发送到该受害者的 WhatsApp 号码的链接都是试图用 Predator 间谍软件感染其手机的尝试。所有感染域名均与用于追踪 Intellexa 感染服务器的网络指纹相匹配。 2024 年 5 月 4 日,也就是收到第一个 Predator 感染链接的第二天(图 4),Teixeira Cândido 似乎打开了收到的感染链接,这导致记者的手机成功感染了 Predator 间谍软件。
一旦间谍软件安装完毕,攻击者就能不受限制地访问 Teixeira Cândido 的 iPhone。正如 Intellexa 泄密调查中泄露的 Intellexa 营销手册所述,该间谍软件能够访问大量数据,包括 Signal 和 WhatsApp 等加密通讯应用、录音、电子邮件、设备位置、屏幕截图和相机照片、存储的密码、联系人和通话记录,以及激活手机麦克风的功能。Intellexa联盟0day漏洞攻击不止:泄露分析揭全球监视黑幕
在 2024 年 5 月 4 日当天,受害者的手机上发现了 Predator 间谍软件进行网络通信的操作痕迹。
这证实了该间谍软件在那段时间内已安装在记者的手机上并正在运行。
间谍软件进程被发现运行于目录 /private/var/containers/Bundle/ 下,此前曾同样发现 Predator 曾利用该目录执行攻击。
另一项针对 2023 年 Predator 样本的公开分析也证实,当时 Predator 使用了相同的执行路径。这些取证痕迹,加上感染链接中使用的已知 Predator 感染域,足以将此次攻击归因于 Predator。
PS:非常好的文章 https://iverify.io/blog/trust-broken-at-the-core
Predator进程在磁盘上执行路径:
/private/var/containers/Bundle/iconservicesagent
与之前的案例不同,Intellexa 现在似乎会随机化在目标设备上运行 Predator 植入程序和监视程序二进制文件时使用的进程名称。
为了逃避检测,该间谍软件现在会伪装成一组合法的 iOS 系统进程之一。在本例中,该间谍软件以“ iconservicesagent ”的名义运行,但与合法的 iOS 系统二进制文件不同的是,恶意进程运行在 “/private/var/containers/Bundle/”目录中。
关于Predator(捕食者)间谍软件的其他文章:
苹果手机间谍软件劫持iOS私有API:摄像头麦克风偷偷录制毫无提示
苹果手机间谍软件Predator中未公开的反检测反蜜罐反取证技术
2024年5月4日,也就是间谍软件成功感染当天,受害者的iPhone仍然运行着iOS 16.2,这是一个存在公开安全漏洞的过时版本,发布于2022年12月。
使用旧版操作系统可能会使手机更容易受到感染,因为恶意攻击者会利用已知的旧漏洞,尽管在本案中是否发生过这种情况尚不清楚。
当时在攻击时,iOS 17.4.1已经发布,其中包含针对iOS 16.7和iOS 17.0.1中关键漏洞的安全补丁。
这些漏洞包括CVE-2023-41993(WebKit JIT远程代码执行漏洞)、CVE-2023-41992(内核IPC释放后使用漏洞)和CVE-2023-41991(代码签名绕过漏洞),所有这些漏洞都被谷歌归咎于Intellexa。虽然很难确定具体使用的漏洞,但由于受害者的手机操作系统较旧,很可能使用了相同的漏洞利用链。
然而,据信 Intellexa 在 2024 年和 2025 年就已掌握iphone手机的0day漏洞,因此即使手机已完全打好补丁,仍有可能被成功感染。
Predator间谍软件感染似乎持续不到一天,在2024年5月4日晚间受害者重启手机后,间谍软件被清除。从那时起直到2024年6月16日,攻击者通过向他发送新的Predator恶意感染链接,尝试重新感染该设备11次。
所有这些后续攻击尝试似乎都失败了,很可能是因为链接根本无法打开。
下面为受害者iphone设备的取证记录时间线
| 时间戳(UTC) | 事件 |
| 2024-05-03 15:18:59 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/E8dzR_Gnfe1ik |
| 2024-05-04 05:33:40 | 来自恶意 Predator iconservicesagent 的网络活动 (下载 1.94 MB 数据,上传 50.17 MB 数据)。 |
| 2024-05-04 08:36:07 | 手机上运行的恶意 Predator 进程的收集数据的痕迹。 |
| 2024-05-04 16:32:12 | 恶意进程执行的其他操作痕迹。 |
| 2024-05-05 10:19:04 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://exclusivo24h[.]com/umSvW_R0fiDXk |
| 2024-05-06 11:00:27 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/bO7cqa_ROcg4Rx |
| 2024-05-07 10:00:25 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/ZlYGvF_4vsqej |
| 2024-05-10 14:21:47 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://exclusivo24h[.]com/aeN9mE_P0GnSq |
| 2024-05-15 14:00:33 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/38OFsC_lE6Eaj |
| 2024-06-03 15:46:04 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://exclusivo24h[.]com/PwYd6_9jeeFCi |
| 2024-06-04 15:19:59 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/IAiVN_oH1hXp |
| 2024-06-14 10:17:43 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://exclusivo24h[.]com/6ZzfY0_2IMMXxk |
| 2024-06-20 10:42:51 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://informacao24[.]com/cAhQK_qBeTdNq |
| 2024-07-16 14:10:23 | 包含 Predator 漏洞利用链接的恶意 WhatsApp 消息:https://blocoinformativo[.]com/VDBE8_PUwOucy |
这些域名与已知的Predator感染服务器的网络指纹相匹配。2024年5月3日发送给受害者的第一个域名“exclusivo24h[.]com”注册于2024年3月。所有域名均使用葡萄牙语书写。
通过绘制可能与安哥拉相关的其他“捕食者”域名,可以更深入地了解“捕食者”在该国的活动时间线。通过技术调查,根据主题、语言和其他技术指标识别出可能针对安哥拉的“捕食者”域名。最早与安哥拉相关的域名早在 2023 年 3 月就已部署,表明“捕食者”在该国的测试或部署已开始。部分域名可能与其他葡语地区有关。
DOMAIN | FIRST SEEN ON |
jornaldeangola[.]co | 2023-03-28 |
angop[.]co | 2023-03-28 |
jornaldeangola[.]net | 2023-06-16 |
novojornal[.]info | 2023-06-16 |
mujimbo[.]co | 2023-06-16 |
factosdiarios[.]online | 2023-06-16 |
folha8[.]net | 2023-06-16 |
folha9[.]info | 2023-06-16 |
mulherevips[.]com | 2023-07-13 |
grupohel[.]social | 2023-07-13 |
aoatlasescort[.]com | 2023-08-10 |
clubs-k[.]com | 2023-08-10 |
folha-9[.]com | 2023-08-10 |
jornaldeangola[.]info | 2023-08-10 |
mujimbos[.]co | 2023-08-10 |
factosdiarios[.]co | 2023-08-10 |
universedades[.]com | 2023-08-10 |
lilpastanews[.]co | 2023-08-10 |
adenuncia[.]com | 2023-08-10 |
imparcialpress[.]com | 2023-08-10 |
sicnoticia[.]com | 2023-08-10 |
cnn-portugal[.]com | 2023-08-10 |
platinalines[.]com | 2023-08-10 |
ongs[.]life | 2023-08-10 |
novojornal[.]co | 2023-08-10 |
jornalf8[.]co | 2023-08-10 |
vinhosadega[.]com | 2023-08-10 |
taagangola[.]co | 2023-08-10 |
tupuca[.]co | 2023-08-10 |
mult[.]icaixa[.]info | 2023-08-10 |
correiosdeangola[.]info | 2023-08-10 |
candidaturasminfin[.]info | 2023-08-10 |
candidaturassonangol[.]info | 2023-08-10 |
mujmbosnoticias[.]com | 2023-10-30 |
ongsworld[.]com | 2023-11-15 |
vendaswebs[.]com | 2023-11-15 |
mundodenoticias[.]online | 2023-11-15 |
lusofonia-mundo[.]com | 2023-12-14 |
vinho-online[.]com | 2023-12-14 |
despachantonline[.]com | 2024-01-11 |
exclusivo24h[.]com | 2024-03-11 |
informacao24[.]com | 2024-03-11 |
blocoinformativo[.]com | 2024-07-08 |
despachosnegocios[.]com | 2024-07-08 |
vslojasvendas[.]com | 2024-07-16 |
gostosadeluxo[.]com | 2023-08-10 |
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
