Predator間諜軟件采用新型攻擊載體實施零點擊攻擊

安全研究員最新發現，Predator間諜軟件已啟用一款名為Aladdin的零點擊感染機制——目標對象無需任何主動操作，僅需瀏覽到一則惡意廣告，其設備便會遭到入侵。這一功能強大且此前從未被披露的攻擊載體，長期通過分布在多國的殼公司進行周密隱匿。

泄露的Intellexa營銷材料

基于廣告的間諜軟件投放鏈路

Aladdin機制于2024年首次投入使用，目前被認為仍處于運行狀態且在持續迭代開發。該機制借助商用移動廣告系統實現惡意軟件投放，其核心原理為：

根據目標對象的公網IP地址及其他身份標識鎖定人群，再通過需求方平臺（DSP）向廣告網絡內的所有合作網站下發指令，強制向目標推送植入惡意程序的廣告。

這類惡意廣告可出現在任何投放廣告的平臺，比如用戶信任的新聞網站或移動應用，其外觀與目標日常瀏覽的普通廣告無異。而根據內部資料顯示，目標僅需查看該廣告即可觸發設備感染，完全無需點擊廣告本身。

Aladdin 概述

盡管目前暫無該感染流程的具體技術細節，但谷歌方面指出，這類廣告會觸發頁面跳轉，將用戶導向Intellexa的漏洞利用載荷分發服務器。

這些惡意廣告的投放鏈路還涉及一套遍布多國的復雜廣告公司網絡，涵蓋愛爾蘭、德國、瑞士、希臘、塞浦路斯、阿聯酋、匈牙利等國家。

針對這類惡意廣告的防護難度較大，不過安全專家建議，在瀏覽器中開啟廣告攔截功能可作為基礎防護手段；此外，將瀏覽器設置為向追蹤器隱藏公網IP，也能降低被精準定向的風險。但泄密文件顯示，Intellexa仍可從客戶所在國的本土移動運營商處獲取相關身份信息。

三星Exynos芯片漏洞與零日漏洞利用

泄密文件的另一項關鍵發現，是證實了另一款名為Triton的投放載體的存在。該載體可針對搭載三星Exynos芯片的設備，通過基帶漏洞發起攻擊，先強制設備網絡降級至2G模式，為后續感染創造條件。

分析師暫無法確認該投放載體是否仍在使用，同時指出另有兩款疑似功能類似的攻擊機制，代號分別為Thor與Oberon，推測其可能涉及無線電通信攻擊或物理接觸式攻擊。

谷歌研究人員稱，從零日漏洞利用規模來看，Intellexa已躋身全球最活躍的商用間諜軟件廠商之列——自2021年以來，谷歌威脅分析小組（TAG）共發現并記錄70起零日漏洞利用事件，其中15起均由該公司主導。

谷歌表示，Intellexa既會自主研發漏洞利用工具，也會從外部機構采購漏洞利用鏈，以實現對各類目標的全面覆蓋。

盡管Intellexa在希臘已面臨制裁及持續調查，但其間諜軟件業務依舊保持高度活躍。隨著Predator間諜軟件的隱蔽性與溯源難度不斷提升，安全機構建議用戶為移動設備開啟額外防護，例如安卓設備的高級保護模式、iOS設備的鎖定模式。

參考及來源：https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/