iOS零日漏洞利用链遭雇佣间谍软件利用，用于设备监控

2025年12月4日

一种新的iOS零日漏洞利用链已被与用于对高风险用户进行静默设备监控的雇佣间谍软件关联起来。此次行动被归因于商业监控供应商Intellexa，它将多个先前未知的漏洞串联起来，使得攻击从在Safari中点击单个链接开始，最终在目标iPhone上完成间谍软件的全面部署。该攻击活动针对公民社会和政治目标，突显了资金充足的间谍软件供应商如何持续将浏览器和内核漏洞武器化，以实现长期、隐蔽的监控。

攻击始于一个恶意的一次性链接，通常通过加密消息应用发送。当目标在Safari中打开链接时，浏览器会加载一个漏洞利用程序，触发一个远程代码执行漏洞，该漏洞后来被修复并分配编号CVE-2023-41993。第一阶段使用一个名为JSKit的共享漏洞利用框架，在Safari渲染器中获得任意读写权限，然后在现代iOS构建版本上转向本地代码执行。自2021年以来，其他监控供应商和国家支持的行为者一直在重复使用同一个框架，这表明可重用漏洞利用组件存在一个活跃的市场。

Google Cloud的安全研究人员在埃及的设备上识别出了完整的攻击链，确认该漏洞利用程序在Intellexa内部代号为“smack”，用于投放Predator间谍软件家族。一旦浏览器被攻破，攻击链会进入强大的第二阶段，利用内核漏洞CVE-2023-41991和CVE-2023-41992突破Safari沙箱并提升权限。此阶段向一个被称为PREYHUNTER的第三阶段有效载荷暴露内核内存的读写权限。 PREYHUNTER由“助手”和“监视器”模块组成，用于验证受害者设备、避免分析，并在隐藏用户通知的同时执行早期监控，如VoIP录音、键盘记录和摄像头捕获。

感染与PREYHUNTER行为

PREYHUNTER助手模块通过位于 /tmp/helper.sock 的Unix套接字与其他组件通信，然后通过名为DMHooker和UMHooker的内部框架安装钩子。这些钩子附加到敏感路径和服务上，从而在投放完整的Predator植入体之前，实现音频捕获、输入记录和隐蔽检查。其套接字设置的简化视图如下：-

1
2
3
4
5
6


int fd = socket(AF_UNIX, SOCK_STREAM, 0);
struct sockaddr_un addr = {0};
addr.sun_family = AF_UNIX;
strcpy(addr.sun_path, "/tmp/helper.sock");
bind(fd, (struct sockaddr *)&addr, sizeof(addr));
listen(fd, 5);

监视器模块持续扫描研究或调试迹象，包括开发者模式、越狱工具（如frida或checkra1n）、安全应用（如McAfee或AvastMobileSecurity）、自定义根证书颁发机构以及HTTP代理。

CVE编号	类型	组件/供应商	在攻击链中的作用	结果
CVE-2023-41993	远程代码执行	Safari / Apple iOS	通过JSKit实现初始浏览器入侵	在Safari进程中执行代码
CVE-2023-41992	沙箱逃逸 + 本地提权	内核 / Apple iOS	突破Safari沙箱	系统级代码执行
CVE-2023-41991	本地权限提升	内核 / Apple iOS	内核权限提升与持久化	为间谍软件提供内核读写能力

如果检测到上述任何迹象，攻击链会停止运行以减少取证痕迹。这种谨慎的分阶段投放，结合内核级访问权限，展现了一个成熟的生态系统，其中漏洞利用开发者、中间商和间谍软件运营商相互协作，以保持iOS监控活动的隐蔽性和持久性。