SGGPO
V návaznosti na zprávy o operaci Triangulation zaměřené na zařízení se systémem iOS odborníci společnosti Kaspersky objasnili podrobnosti o spywaru použitém při útoku.
 |
| Software TriangleDB napadl zařízení iOS. |
Společnost Kaspersky nedávno informovala o nové mobilní APT (Advanced Persistent Threat) kampani zaměřené na zařízení iOS prostřednictvím služby iMessage. Po šestiměsíčním vyšetřování zveřejnili výzkumníci společnosti Kaspersky hloubkovou analýzu řetězce zneužití a podrobná zjištění o aktivitě spywarové infekce.
Tento malware s názvem TriangleDB je nasazen zneužitím zranitelnosti k získání root přístupu na zařízeních iOS. Po spuštění funguje pouze v paměti zařízení, takže stopa infekce mizí po restartu zařízení. Pokud tedy oběť zařízení restartuje, útočník musí zařízení znovu infikovat odesláním další zprávy iMessage se škodlivou přílohou, čímž se celý proces zneužití restartuje.
Pokud se zařízení nerestartuje, software se po 30 dnech automaticky odinstaluje, pokud útočníci tuto lhůtu neprodlouží. TriangleDB, který funguje jako sofistikovaný spyware, provádí řadu funkcí pro sběr a monitorování dat.
Software obsahuje 24 příkazů s různými funkcemi. Tyto příkazy slouží různým účelům, jako je interakce se souborovým systémem zařízení (včetně vytváření, úprav, extrakce a mazání souborů), správa procesů (výpis a ukončení), extrakce řetězců pro shromažďování přihlašovacích údajů oběti a sledování geografické polohy oběti.
Při analýze TriangleDB experti z Kaspersky zjistili, že třída CRConfig obsahuje nepoužívanou metodu s názvem popatedWithFieldsMacOSOnly. Ačkoli se v malwaru pro iOS nepoužívá, její přítomnost naznačuje potenciál cílení na zařízení macOS.
Společnost Kaspersky doporučuje uživatelům, aby se vyhnuli tomu, aby se stali oběťmi cílených útoků, a to přijetím následujících opatření: Pro včasnou ochranu, vyšetřování a reakci na úrovni koncových bodů používejte spolehlivé podnikové bezpečnostní řešení, jako je například Kaspersky Unified Monitoring and Analysis Platform (KUMA); Co nejdříve a pravidelně aktualizujte operační systémy Microsoft Windows a software třetích stran; Poskytněte týmům SOC přístup k nejnovějším datům Threat Intelligence (TI). Kaspersky Threat Intelligence je jednoduchý zdroj přístupu k TI společnosti, který poskytuje data o kybernetických útocích a zprávy od společnosti Kaspersky za posledních 20 let; Vybavte týmy kybernetické bezpečnosti dovednostmi pro řešení nejnovějších cílených hrozeb prostřednictvím online školení Kaspersky, které vyvinuli odborníci ze společnosti GreAT; Protože mnoho cílených útoků začíná phishingem nebo taktikami sociálního inženýrství, poskytněte zaměstnancům společnosti školení v oblasti bezpečnostního povědomí a poradenství v oblasti nezbytných dovedností, jako je například Kaspersky Automated Security Awareness Platform…
Georgy Kucherin, bezpečnostní expert z globální výzkumné a analytické skupiny společnosti Kaspersky, uvedl: „Jak jsme se hlouběji ponořili do útoku, zjistili jsme, že tento sofistikovaný malware pro iOS má několik neobvyklých vlastností. Kampaň nadále analyzujeme a poskytneme všem podrobnější informace o tomto sofistikovaném útoku. Vyzýváme komunitu kybernetické bezpečnosti, aby se podělila o znalosti a spolupracovala s cílem získat jasnější představu o existujících hrozbách.“
Zdroj
Komentář (0)