最近修正されたアップルとChromeのゼロデイ、スパイウェア攻撃で悪用されていた | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 最近修正されたアップルとChromeのゼロデイ、スパイウェア攻撃で悪用されていた

Threat Report

Silobreaker-CyberAlert

最近修正されたアップルとChromeのゼロデイ、スパイウェア攻撃で悪用されていた

佐々山 Tacos

佐々山 Tacos

2023.09.25

最近修正されたアップルとChromeのゼロデイ、スパイウェア攻撃で悪用されていた

先週パッチがリリースされたアップル製品のゼロデイ3件(CVE-2023-41991、CVE-2023-41992、CVE-2023-41993)が、エジプトの元国会議員を狙ってスパイウェアPredatorをインストールさせようとする攻撃で悪用されていたことを、Citizen LabとGoogleの脅威分析チーム(TAG)が報告。またこれとは別の、Predatorをエジプト国内のAndroidデバイスに投下しようとするエクスプロイトチェーンでは、今月初めに修正されたChromeのゼロデイ(CVE-2023-4762)が悪用されていたという。

アップル製品のゼロデイ3件(CVE-2023-41991、CVE-2023-41992、CVE-2023-41993)

Citizen LabとGoogle TAGの研究者らによると、21日にアップルが緊急アップデートをリリースして対処した以下3件のゼロデイ脆弱性は、Cytrox製のスパイウェア「Predator」を投下するためのエクスプロイトチェーンの一環として悪用されていたという。

 

・CVE-2023-41991(セキュリティフレームワークの脆弱性、影響:署名検証バイパス)

・CVE-2023-41992(カーネルの脆弱性、影響:ローカル特権昇格)

・CVE-2023-41993(WebKitの脆弱性、影響:任意のコード実行)

関連記事:アップル、新たなゼロデイ3件に緊急パッチ:CVE-2023-41993ほか

このエクスプロイトチェーンで狙われたのは、エジプトの元議員Ahmed Eltantawy氏。同氏は、2024年のエジプト大統領選立候補をアナウンスしたのち、2023年5月から9月にかけて、SMSやWhatsAppのメッセージを囮として用いるスパイウェア攻撃の標的になったとされる。自身が使用する携帯電話の安全性に疑惑を抱いたEltantawy氏が自らCitizen Labに連絡を取り、Citizen Labがフォレンジック調査を実施したことで、Predatorスパイウェアをインストールさせようとする試みが何度も行われていたことが発覚したのだという。

Predatorスパイウェアとは

PredatorはCytroxという会社によって作られたスパイウェアで、ターゲットの監視や侵害されたデバイスからのデータ抜き取りを可能にするなど、NSO Groupのスパイウェア「Pegasus」と似た性能を持つ。Cytroxはスパイウェアベンダーのコンソーシアム「Intellexa Alliance」の一員で、双方とも「弾圧キャンペーンやその他の人権侵害を可能にする」として2023年7月に米国政府によってブロックリストに登録され、米企業と両社間の取引は禁じられていた。

関連記事:ギリシャの諜報機関が、Facebook従業員を盗聴するためスパイウェアPredatorを使用したとの疑惑

スパイウェア感染の流れ

Citizen Labによれば、Eltantawy氏のVodafone Egyptの携帯電話接続はネットワークインジェクションによって狙われており、Eltantawy氏はHTTPSが使用されていない特定のWebサイトを訪問した際、自動的に悪意あるWebサイトへリダイレクトされたという。そしてリダイレクトののちにエクスプロイトチェーンが自動で作動し、スパイウェアインプラントをインストールすべきか判断する役割を持つ悪意あるバイナリが展開・実行された。この際、上記の脆弱性CVE-2023-41993は、細工されたWebページを用いてSafari内で最初のリモートコード実行(RCE)を行うため、CVE-2023-41991は署名の検証をバイパスするため、そしてCVE-2023-41992はカーネルの特権昇格のために悪用されたという。

Citizen Labはエジプト政府の関与を指摘

エジプトがPredatorの提供元であるCytrox社の顧客として知られていること、今回Predatorはエジプト国内に存在するデバイスからのネットワークインジェクションにより配布されたことを踏まえ、Citizen Labは、この攻撃はエジプト政府によるものだろうと高い確度で評価している。またCitizen Labのレポートには、Eltantawy氏が標的となった背景として、以下のような事実が挙げられている。

 

・エジプトの現大統領エルシーシ氏は2014年以来政権を握っており、独裁者として広く認識されている。

・Eltantawy氏は2023年3月、次期エジプト大統領選挙に出馬する意向を表明し、現大統領に代わる「民主的な」選択肢を提供するつもりだと述べた。この発表後、同氏およびその家族、支持者はハラスメントの標的となっており、12人の親族が逮捕されたとの報告もある。

・エルシーシ氏政権下では市民団体や活動家、反体制派が弾圧されるなどの広範な人権侵害が行われているとの報告が、アムネスティ・インターナショナルやヒューマン・ライツ・ウォッチなどの人権団体から上がっている。

・Citizen Labは以前にも、2人の亡命エジプト人のデバイスを標的としたPredator感染の事例を文書化している。

 

(情報源:Citizen Lab “PREDATOR IN THE WIRES”、The Hacker News “New Apple Zero-Days Exploited to Target Egyptian ex-MP with Predator Spyware”、BleepingComputer “Recently patched Apple, Chrome zero-days exploited in spyware attacks”)

9月23,24日:その他の注目ニュース

アフリカにおける中国のオフェンシブなサイバーオペレーション、目的はソフトパワー活動の支援か

SecurityWeek – Sep 22 2023

SentinelOneによると、中国の複数の国家支援型脅威グループが、アフリカにおける中国のソフトパワーの取り組みを支援するために、アフリカの電気通信、金融、政府の組織を標的にしているという。今年初め同社は、中国のAPT41グループと関連している可能性のある中国のサイバースパイグループが、「Tainted Love」というオペレーションの一環として、中東の通信プロバイダーを標的にしているのを目撃したと報告していた。そして21日、同じ脅威アクターが中国のソフトパワー活動を支援するオペレーションとみられるものの一環として、北アフリカの電気通信組織を標的にしていることも発表された。またBackdoorDiplomacyやFamousSparrow、Earth Estriesなど、他の中国関連の脅威アクターもアフリカを標的としていることが確認されている。

このような攻撃は、アフリカにおける中国のソフトパワーやテクノロジーに関する活動計画と顕著に合致していると、SentinelOneは指摘。例えば上述のTainted Love関連のアクターによる北アフリカの電気通信組織に対する攻撃は、同組織がアフリカでの事業拡大に向けて非公開の交渉に望んでいた時期に発生しており、これは電気通信分野に関する中国のソフトパワー的な関心と合致するタイミングだったという。

中国はファーウェイやZTEといった企業を通じて、通信部門を中心にアフリカへ投資しており、中国の技術へのアフリカの依存を助長しようとしている可能性がある。SentinelOneは中国の戦略について、モバイルネットワークからブロードバンドインフラまでの広範囲でイニシアチブを握ることによって同国のデジタルエコシステムと深く結びついた社会をアフリカに作り出すことを想定しているとしており、これは将来同国が社会政治的な優位性を持つための道筋を作り出し、個人の自由に大きな影響力を及ぼすものであると説明している。

警戒すべきIoTの脅威とダークウェブにおけるDDoSの急成長をカスペルスキーが明らかに

HackRead – Sep 23 2023

カスペルスキーのサイバーセキュリティ研究者は、ダークウェブ上で拡大するサイバー犯罪経済に関する統計を発表した。同社によるとIoTデバイスは、利用の拡大によりサイバー犯罪者にとって魅力的なターゲットとなっているという。特に、IoTボットネットを使って実施されるDDoSへの需要は急激に増大しており、2023年上半期だけで700件を超えるDDoS攻撃サービスのダークウェブ広告が発見されている。

また、サイバー犯罪者間の熾烈な競争により、IoTマルウェアの開発が後押しされているという。競争戦略として、これらのマルウェアにはファイアウォールルールや、競合マルウェアに関連するプロセスを終了させる性能など、ライバルのマルウェアを妨害するための機能が実装されている模様。

さらに、脆弱なパスワードの総当たり攻撃が、依然としてIoTデバイスを侵害する主要な手法であることが判明している。この攻撃の主な標的はTelnetであり、SSHに対する攻撃は少なくとどまっているという。ハッカーはこの攻撃を通して不正にアクセスすることで、任意のコマンドを実行したり、マルウェアを展開したりできるようになる。そしてIoTのWebインターフェースの脆弱性を悪用することも、IoTデバイスに対する攻撃の手段となっているようだ。サイバー犯罪者はこれらの脆弱性を利用して有害なコマンドを実行し、Miraiのようなマルウェアの拡散などを行う可能性がある。

世界の攻撃状況としては、中国、インド、米国がIoTへの攻撃の主な標的である一方、中国、パキスタン、ロシアが最も活動の盛んな攻撃者として浮上しており、サイバー脅威の世界的な広がりが浮き彫りとなっている。

このほか、カスペルスキーはレポートの中で、DDoSボットネット、ランサムウェア、マイナー、DNSチェンジャー、プロキシボットなど、いくつかのタイプのIoTマルウェアについて詳述している。IoTデバイスの数が急増し続ける中、定期的なセキュリティ監査を実施し、ネットワークトラフィックを監視し、ベストプラクティスを実践するなどのセキュリティ対策は非常に大切なこととなる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ