Канал 🔨SecAtor — @true_secator пишет интересное:

Подкатили подробности исправленной CVE-2025-43200, благодаря которой были совершены Zero-Click атаки на устройства Apple iOS по меньшей мере двух журналистов в Европе.

Традиционно, вредоносная активность инициировалась с использованием spyware, на этот раз - шпионской платформы Graphite компании Paragon, а расследование проводили исследователи Citizen Lab.

По их данным, криминалистические доказательства с высокой степенью достоверности подтверждают, что один известный европейский журналист и его коллега - Чиро Пеллегрино из итальянского издания Fanpage, стали жервами Graphite.

Атаки произошли в начале 2025 года, а 29 апреля Apple отправила жертвам сообщения с уведомлениями о нацеленных на них атаках шпионского ПО.

Неустановленный злоумышленник задействовал шпионскую платформу Graphite для совершения атак на устройства iPhone под управлением iOS 18.2.1 и эксплуатации уязвимости CVE-2025-43200, которая на тот момент являлась 0-day.

Apple описывает уязвимость как логическую проблему, возникшую при обработке вредоносной фотографии или видео, отправленных через iCloud Link.

Поставщик устранил уязвимость 10 февраля в iOS 18.3.1, добавив улучшенные проверки.

Однако соответствующие идентификатор CVE был добавлен в бюллетень безопасности только недавно.

Согласно анализу Citizen Lab, вектором доставки шпионского ПО Graphite выступал iMessage: с использованием легитимного оккаунта злоумышленник рассылал специально созданные сообщения для реализации RCE посредством CVE-2025-43200.

После активации шпионское ПО связывалось с сервером C2 для получения дальнейших инструкций.

В случае, изученном Citizen Lab, зараженный телефон подключался к https://46.183.184[.]91, VPS на EDIS Global, связанному с инфраструктурой Paragon, который был активен до 12 апреля.

Несмотря на то, что на устройствах не осталось практически никаких следов, Citizen Lab удалось восстановить некоторые журналы, которые включали в себя артефакты, позволяющие с высокой степенью уверенности приписать атаки Paragon.

Бенефициар выявленных атак не раскрывается, тем не менее, в последнее время Paragon существенно расширила портфель своих заказов за счет более тесного сотрудничества с американской стороной.