시티즌랩 새로운 ios 안드로이드 공격툴 프리데터 확인

기존에 알려진 nos 그룹의 페가소스툴 만큼 강력한 프리데터라는 ios 안드로이드 공격툴을 발견 심지어 페가소스의 공격대상이된 아이폰에서 프리데터 툴이 있는 사례도 확인하였습니다. 이 툴은 신생기업인 북마케도이나의 Cytrox라는 업체의 공격툴로서  이스라엘 헝가리등에도 진출한것으로 파악되고 있습니다  확인된 사례로서  이집트의 망명한 정치인 아이만 누르와 익명의 이집트 인기 뉴스프로그램 진행자가 감염되었습니다  이중 아이만 누르의 경우 페가소스와 프리데터 두개의 공격툴이 아이폰 (ios 14.6)에 설치되어 있는것을 확인하였습니다 시티즌랩은 로더 기능의 샘플을 입수하는데 성공 프리데터 툴은 제부팅후에도 ios 자동화 기능을 이용해 여전히 유지되는것을 확인 하였습니다. 추가적인 조사를 통해 이툴이 아르메니아 이집트 그리스 인도네시아 마다가스카르 오만 사우디아라비아 세르비아등의 고객을 확보하는것으로 추정되는것을 찾았습니다. 이 기업의 정체는 복잡하지만 전 이스라엘 방위군 출신의 탈 딜리안이 관련되어 있는것으로 추정됩니다  이들은 nso 그룹에 대항하기 위한 연합체인 Intellexa와 연관되어 있는것으로 추정됩니다. 아이만 누르는 그의 아이폰이 뜨거워지는것을 경험한후 의심을 하였습니다. 시티즌랩은 누르의 사례를 접하고 조사한 결과 그의 아이폰에 페가소스와 프리데터 두개의 공격툴이 있는것을 확인 했습니다. 배후에는 이집트 정부가 있는것으로 추정되며 첫 공격은 whatsapp으로 시작된것으로 파악됩니다. 기록으로 확인된 첫공격으로 누르의 아이폰은  2021년 3월 3일 페가소스로 부터 공격을 당했습니다. 2021년 6월 30일에는 페가소스의 포스엔트리 공격을 받았습니다 (현재는 실행되지 않음) 시티즌랩은 포렌식중 새로운 툴을 확인하고 이것이 페가소스가 아닌 다른 툴일것으로 확신 추가조사에 들어갑니다. 그러던중 6월 30일 에서 payload2라는 흔적을 찾아냈습니다. 이툴은 ios 자동화 기능의 헛점을 이용해 공격을 하는것으로 파악되었습니다. ....... 중략 ......... 현재 시티즌랩은 애플과 메타에 해당 공격을 보고 하였으며  메타는 즉각적으로 12월 16일 관련된 300개의 계정을 삭제하였습니다. (또한 추가적으로 보안조치 실시중) https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/ 메타의 보고서에는 이들이  이집트 아르메니아 그리스 사우디 아라비아 오만 콜롬비아 코트디부아르 베트남 필리핀 독일등에서 법인을 구축하고 활동하고 있는것으로 파악하고 있습니다.
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
사용자댓글