В марте 2021 года Citizen Lab начала ковырять iPhone саудовского правозащитника. В директории
Library/SMS/Attachments нашлись 27 одинаковых файлов с расширением .gif - каждый оказался 748-байтовым Adobe PSD, роняющим процесс IMTranscoderAgent. Рядом лежали ещё 4 «гифки», внутри которых - PDF с JBIG2-кодированными потоками. Устройство было полностью скомпрометировано Pegasus от NSO Group. Пользователь не открыл ни одного вложения и не перешёл по единой ссылке. По данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и её устранением в организациях - 29 месяцев. За этот срок zero-click эксплойт из таргетированного оружия превращается в вектор, доступный куда более широкому кругу атакующих.Бизнес-логика zero-click атаки: кто цель и какой импакт
Zero-click эксплойт выбрасывает человеческий фактор из уравнения: фишинг-тренинги, awareness-программы и email-фильтры бессильны, когда для компрометации не нужно ни одного клика. Основные потребители таких цепочек - операторы коммерческого spyware (NSO Group Pegasus, Intellexa Predator) и государственные APT-группировки. Мишени - журналисты, дипломаты, топ-менеджмент, сотрудники критической инфраструктуры.Импакт для корпоративного сектора конкретен: одно скомпрометированное устройство руководителя - это доступ к корпоративной почте, контактам, геолокации, записям звонков и документам в облачных хранилищах. Финальная стадия в терминах MITRE ATT&CK - T1005 (Data from Local System, Collection) → T1041 (Exfiltration Over C2 Channel, Exfiltration). Результат - утечка данных, для которой SIEM не зафиксирует ни одного привычного алерта о lateral movement или credential access.
Для SOC тут неприятный нюанс: атака целиком проходит на мобильном устройстве, вне поля зрения корпоративного EDR. Нет лога в Windows Event Log, нет alert в CrowdStrike Falcon или SentinelOne. Единственные точки наблюдения - MDM-телеметрия, сетевая аналитика и forensic-анализ бэкапов устройств.
Анатомия цепочки: zero-click kill chain в терминах MITRE ATT&CK
Каждая задокументированная цепочка эксплуатации без взаимодействия пользователя идёт по одному и тому же маршруту: initial access через автоматический парсинг входящих данных → exploitation for execution → privilege escalation через sandbox escape → collection и exfiltration.| Этап kill chain | MITRE ATT&CK | Реализация в zero-click |
|---|---|---|
| Доставка | T1189 Drive-by Compromise | Crafted iMessage, WhatsApp-сообщение, MITM-редирект |
| Выполнение кода | T1203 Exploitation for Client Execution (Execution) | Integer overflow в JBIG2, buffer overflow в VoIP-стеке |
| Повышение привилегий | T1068 Exploitation for Privilege Escalation | Выход из sandbox (BlastDoor, app sandbox) |
| Скрытность | T1036.008 Masquerade File Type / T1027 Obfuscated Files or Information (Defense Evasion) | PSD/PDF маскируются под .gif, payload в volatile memory |
| Сбор | T1005 Data from Local System (Collection) | Контакты, сообщения, геолокация, микрофон, камера |
| Эксфильтрация | T1041 Exfiltration Over C2 Channel | Зашифрованный канал к C2-серверу |
Принципиальное отличие от классических атак: первые три этапа не требуют действий жертвы и не генерируют привычных IoC. Нет подозрительного URL в proxy-логе, нет запуска PowerShell, нет изменения реестра. Парсер мессенджера обрабатывает данные автоматически - это и есть точка входа.
FORCEDENTRY: integer overflow в CoreGraphics (CVE-2021-30860)
CVE-2021-30860 - integer overflow в библиотеке CoreGraphics при обработке PDF. По данным NVD: CVSS 7.8 (HIGH), векторCVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. CWE-190 (Integer Overflow or Wraparound). Формально UI:R в векторе указывает на необходимость пользовательского взаимодействия - обработки PDF. Но в контексте iMessage парсинг вложений происходит автоматически, что фактически сводит UI-компонент к None.CISA добавила CVE-2021-30860 в KEV-каталог 3 ноября 2021 года. SSVC: Act - патчить немедленно, Exploitation: active, Technical Impact: total. EPSS - 0.7197 (top 5%). Эксплуатация in the wild подтверждена с 13 сентября 2021 года.
Затронутые продукты: iOS до 14.8, iPadOS до 14.8, macOS до Big Sur 11.6 (+ Security Update 2021-005 Catalina), watchOS до 7.6.2.
Механика эксплуатации
Согласно анализу Citizen Lab, атака использовала iMessage как транспорт. Файлы шли с расширением.gif, но содержали два типа payload:- 27 одинаковых PSD-файлов (748 байт каждый) со случайными десятисимвольными именами - роняли IMTranscoderAgent, предположительно подготавливая heap layout.
- 4 PDF-файла с JBIG2-кодированным потоком - собственно эксплойт. Вывод
pdfidпоказывал фильтры/FlateDecode /FlateDecode /JBIG2Decodeв потоке XRef-объекта.
Контекст: Apple ввела BlastDoor в iOS 14 - sandbox-обёртку для парсинга iMessage-вложений. NSO Group разработала FORCEDENTRY именно для обхода BlastDoor: CoreGraphics обрабатывал PDF внутри BlastDoor, но JBIG2-декодер использовался для построения логических примитивов (NAND-gate Turing-complete computation) внутри процесса CoreGraphics. Это давало RCE в контексте BlastDoor; sandbox escape был отдельной стадией цепочки (подробный разбор - Google Project Zero, Dec 2021). Ранее, в 2020 году, NSO Group использовала zero-click эксплойт KISMET для iMessage - введение BlastDoor сделало KISMET неработоспособным и вынудило NSO Group перейти к FORCEDENTRY. По сути, Apple подняла планку - NSO Group её перепрыгнула.
Форензика: артефакт CASCADEFAIL
Citizen Lab описала характерный форензик-артефакт, названный CASCADEFAIL: в файлеDataUsage.sqlite устройства запись из таблицы ZPROCESS удалялась, но связанные записи в ZLIVEUSAGE оставались. Баг в cleanup-логике Pegasus - и он-то позволяет обнаружить следы компрометации:
SQL:
SELECT "CASCADEFAIL"
FROM ZLIVEUSAGE
WHERE ZLIVEUSAGE.ZHASPROCESS
NOT IN (SELECT Z_PK FROM ZPROCESS);setframed, ранее ассоциированный с атакой Pegasus на журналиста Al Jazeera в июле 2020 года - деталь, не опубликованная до момента анализа FORCEDENTRY.Цепочки WhatsApp: от VoIP-стека до ImageIO
CVE-2019-3568: heap overflow в VOIP-стеке
Buffer overflow в VoIP-стеке WhatsApp - одна из первых публично задокументированных zero-click цепочек NSO Group. По данным NVD: CVSS 9.8 (CRITICAL), векторCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. CWE-122 (Heap-based Buffer Overflow) и CWE-787 (Out-of-bounds Write). CISA KEV: добавлена 19 апреля 2022 года, SSVC: Act - критично, Automatable: yes. EPSS - 0.4796, percentile 0.9778 (top 5%).Механика: специально сформированные RTCP-пакеты отправлялись на целевой номер. Отвечать на звонок не нужно - VoIP-стек парсил входящий вызов автоматически. По данным WhatsApp/Meta (иск против NSO Group, октябрь 2019), уязвимость использовалась против примерно 1400 устройств за двухнедельный период.
Затронутые версии: WhatsApp для Android до v2.19.134, iOS до v2.19.51, Business для Android до v2.19.44, Business для iOS до v2.19.51, Windows Phone до v2.18.348, Tizen до v2.18.15.
Ограничение для detection: VoIP-трафик WhatsApp зашифрован end-to-end. На сетевом уровне индикатором могут быть серии входящих VoIP-подключений с неизвестных номеров, коррелирующие по времени с аномальной сетевой активностью устройства - но это косвенный признак, требующий подтверждения через forensic-анализ.
CVE-2025-55177 + CVE-2025-43300: связка 2025 года
Самая свежая публичная zero-click цепочка для WhatsApp + Apple - комбинация двух уязвимостей:CVE-2025-55177 - incorrect authorization в механизме синхронизации linked-устройств WhatsApp. CVSS 5.4 (MEDIUM), вектор
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N. CWE-863 (Incorrect Authorization). На первый взгляд - medium-severity баг, ничего страшного. Но его критичность раскрывается в связке. CISA KEV: добавлена 2 сентября 2025 года, SSVC: Act, Exploitation: active. Уязвимость позволяет стороннему пользователю заставить целевое устройство обработать контент с произвольного URL.CVE-2025-43300 - out-of-bounds write в ImageIO (Apple). CVSS 10.0 (CRITICAL) по NVD, вектор
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. CWE-787. AV:N отражает то, что вредоносное изображение доставляется по сети (через мессенджер, браузер, почту); CVE-2025-55177 - лишь один из транспортов, использованных in the wild. Обработка вредоносного изображения приводит к повреждению памяти. Apple подтвердила эксплуатацию «в крайне изощрённых атаках против конкретных целевых лиц». CISA KEV: добавлена 21 августа 2025, SSVC: Act - критично, Automatable: yes.Затронутые платформы: iOS 15.8.5, iOS 16.7.12, iOS 18.6.2, iPadOS 15.8.5, iPadOS 16.7.12, iPadOS 17.7.10, iPadOS 18.6.2, macOS Ventura 13.7.8, macOS Sonoma 14.7.8, macOS Sequoia 15.6.1.
Цепочка атаки: WhatsApp (CVE-2025-55177) заставляет устройство загрузить контент с URL атакующего → загруженное изображение обрабатывается ImageIO (CVE-2025-43300) → out-of-bounds write → выполнение произвольного кода. По данным Associated Press (цитируется источником Covert Access Team), атака затронула менее 200 пользователей за период около 90 дней.
Detection-индикаторы (по данным анализа Covert Access Team): процессы WhatsApp, инициирующие HTTP/HTTPS-запросы к инфраструктуре, не принадлежащей Meta, непосредственно перед crash, перезагрузкой или всплеском в логах ImageIO/SpringBoard; crash-отчёты ImageIO с артефактами парсинга DNG или TIFF; корреляция аномальных запросов с событиями linked-device.
Predator и браузерные движки: MITM как триггер
Мессенджеры - не единственный вектор. По данным «Лаборатории Касперского», Predator spyware от Intellexa использовал zero-click через браузер Safari. Атакующие ждали момента, когда жертва обращалась к любому HTTP-сайту (без шифрования), проводили MITM-атаку и перенаправляли на вредоносную страницу. Уязвимость в Safari позволяла выполнить произвольный код без действий пользователя - браузер автоматически рендерил контент. Аналогичную цепочку эксплойтов собрали и для Android-устройств через Chrome.В терминах MITRE ATT&CK это T1189 (Drive-by Compromise) в чистом виде: пользователь не посещает вредоносный ресурс намеренно - его перенаправляют через перехват трафика.
Контекст применимости: атака требует позиционирования для MITM - контроля над сетевым оборудованием провайдера или точкой доступа. В корпоративной среде это возможно при компрометации Wi-Fi-инфраструктуры или через ISP-уровневый перехват в юрисдикциях, где операторы сотрудничают с заказчиками spyware.
Mitigation: принудительное использование HTTPS (HSTS) полностью блокирует этот вектор - перехват зашифрованного трафика не даёт возможности для MITM-редиректа. Ограничение: HSTS preload работает только для доменов из списка; если пользователь заходит на HTTP-сайт, не включённый в preload, окно для MITM остаётся открытым.
Detection для SOC: что искать при zero-click компрометации
Zero-click эксплойты проектируются для минимального следа, но полная невидимость невозможна. Ниже - чеклист для SOC-команд, работающих с мобильным парком корпоративных устройств.Чеклист мониторинга zero-click угроз
Ограничения detection
Корпоративные EDR - CrowdStrike Falcon, SentinelOne, Elastic Security - не работают на iOS из-за ограничений Apple на kernel-уровневый доступ. На Android чуть лучше, но zero-click эксплойты с sandbox escape (как в FORCEDENTRY) получают привилегии, достаточные для обхода установленных агентов. Если атака проведена через iMessage с эксплуатацией неизвестной уязвимости, а spyware работает исключительно в volatile memory - шансы обнаружить компрометацию через стандартный мониторинг стремятся к нулю. Единственный работающий подход - проактивный forensic-анализ устройств VIP-пользователей по расписанию, специализированными инструментами (MVT от Amnesty International, к примеру).Три года я разбираю публичные отчёты по zero-click цепочкам - от FORCEDENTRY до свежей связки CVE-2025-55177 + CVE-2025-43300 - и вижу один устойчивый паттерн: каждая новая защитная мера (BlastDoor, Lockdown Mode, pointer authentication) сдвигает порог входа, но не закрывает attack surface целиком. Парсеры - это код, который обрабатывает недоверенные данные автоматически, и пока iMessage рендерит вложения до того, как пользователь их откроет, вектор будет жить. Для Blue Team из этого следует неудобный вывод: мобильные устройства руководства - слепая зона, и закрыть её стандартным EDR-стеком невозможно. Проактивный forensic-анализ, жёсткая сегментация мобильного трафика и Lockdown Mode на устройствах с максимальным risk score - не «лучшие практики», а минимальный порог. SOC-команды, которые сегодня не включают мобильную телеметрию в корреляционные правила, фактически соглашаются не видеть целый класс атак. Если выстраиваете detection цепочек коммерческого spyware в корпоративной среде - на codeby.net есть тред, где коллеги разбирают подходы к форензике мобильных устройств и корреляции MDM-алертов с сетевой телеметрией.
