СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.12.2025
#ИБ

Intellexa, Predator и цепочка zero-day эксплойтов CVE-2023-41993

Кратко: несмотря на международные санкции и усиленный контроль, компания Intellexa сохраняет способность разрабатывать и применять эксплойты zero-day, используемые для установки шпионского ПО Predator. Анализ Google Threat Intelligence Group совместно с результатами расследования CitizenLab показывает, что атаки опираются на сложные цепочки эксплойтов — в том числе внутренне называемую «smack» — и задействуют уязвимость CVE-2023-41993 в браузере Safari.

Что обнаружили исследователи

Выводы Google Threat Intelligence Group и исследование CitizenLab за 2023 год выявили целую цепочку эксплойтов, применявшуюся при целевых атаках на пользователях в Египте. Эта цепочка, известная внутри Intellexa как «smack», обеспечивала скрытую доставку и установку Predator на мобильные устройства.

«Intellexa not only buys but also develops new zero-day exploits, demonstrating an ability to rapidly adapt and sustain operations for its clients.»

Критическим компонентом первой стадии атаки стала уязвимость в браузере Apple Safari, зарегистрированная как CVE-2023-41993. Она позволяла выполнять произвольные операции чтения и записи в память, что в сочетании с фреймворком JSKit давало возможность выполнить машинный код на устройствах Apple.

Методы доставки и тактика

Исследователи описывают несколько ключевых векторов доставки эксплойтов:

  • отправка одноразовых ссылок напрямую целевым пользователям через end-to-end приложения для обмена зашифрованными сообщениями;
  • использование вредоносной рекламы (malvertising) на сторонних платформах для получения отпечатков браузера и перенаправления на серверы доставки эксплойтов;
  • комбинация эксплойтов zero-day в многоступенчатых цепочках, что усложняет обнаружение и анализ;
  • адаптация эксплойтов под конкретные версии ОС и браузеров, чтобы обойти механизмы песочницы и защиты.

Почему это опасно

Сценарий, при котором коммерческие разработчики эксплойтов не только закупают, но и создают собственные zero-day, увеличивает скорость и масштаб потенциальных атак. Такие цепочки позволяют обойти стандартные механизмы безопасности и установить продвинутые шпионские инструменты на устройства целей, зачастую без видимых следов для пользователя.

Международная реакция и усилия по противодействию

Международное сообщество и технологические компании предпринимают шаги по ограничению воздействия индустрии коммерческих шпионских инструментов. Среди заметных инициатив:

  • инициатива Pall Mall — попытка установить глобальные нормы и рамки для смягчения угроз от индустрии шпионских программ, в которой активно участвует Google;
  • правительственные меры, включая шаги США по ограничению экспорта и использования подобных инструментов;
  • усилия по обмену индикаторами компрометации (IoC) и совместной разработке контрмер в рамках сообщества кибербезопасности.

Технические контрмеры и рекомендации

Для повышения устойчивости к такого рода атакам исследователи и практики предлагают следующие меры:

  • регулярно обновлять операционные системы и браузеры — своевременные патчи устраняют публичные уязвимости;
  • усилить осторожность при переходе по ссылкам в сообщениях из неизвестных источников и в контексте подозрительных рекламных объявлений;
  • внедрять и поддерживать правила обнаружения, включая разработку и распространение сигнатур на базе YARA для выявления компонентов Predator и связанных эксплойтов;
  • развертывать многослойные решения — EDR, системе предотвращения вторжений, фильтрацию рекламы и threat intelligence;
  • поддерживать межорганизационное сотрудничество и оперативный обмен информацией о новых эксплойтах и тактиках злоумышленников.

Выводы

Случай с Intellexa иллюстрирует, что запретительные меры и санкции не снимают необходимость технической готовности: коммерческие игроки рынка эксплойтов продолжают развиваться и интегрировать сложные цепочки атак. В таких условиях комбинация международной политики, промышленной саморегуляции и практических мер защиты — от патч-менеджмента до разработки правил YARA — становится ключевой для сдерживания угроз и защиты прав человека.

Эксперты предупреждают: угроза не исчезнет сама по себе — требуется скоординированный ответ отрасли, властей и исследовательского сообщества.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: