SGGPO
Nach Berichten über die auf iOS-Geräte abzielende Kampagne „Operation Triangulation“ haben die Experten von Kaspersky Licht in die Details der bei dem Angriff verwendeten Spyware gebracht.
 |
| TriangleDB-Malware hat iOS-Geräte befallen |
Kaspersky berichtete kürzlich über eine neue mobile APT-Kampagne (Advanced Persistent Threat), die iOS-Geräte über iMessage angreift. Nach sechsmonatiger Untersuchung veröffentlichten Kaspersky-Forscher eine detaillierte Analyse der Exploit-Kette sowie detaillierte Erkenntnisse zur Spyware-Infektion.
Die Schadsoftware namens TriangleDB wird über eine Sicherheitslücke verbreitet, die ihr Root-Zugriff auf iOS-Geräten ermöglicht. Nach dem Start agiert sie ausschließlich im Speicher des Geräts, sodass Spuren der Infektion beim Neustart des Geräts verschwinden. Startet das Opfer das Gerät neu, muss der Angreifer es erneut infizieren, indem er eine weitere iMessage mit einem schädlichen Anhang sendet, wodurch der gesamte Exploit-Prozess von vorne beginnt.
Wenn das Gerät nicht neu gestartet wird, wird die Software nach 30 Tagen automatisch deinstalliert, es sei denn, die Angreifer verlängern diesen Zeitraum. TriangleDB fungiert als hochentwickelte Spyware und bietet verschiedene Funktionen zur Datenerfassung und -überwachung.
Die Software umfasst 24 Befehle mit unterschiedlichen Funktionen. Diese dienen verschiedenen Zwecken, beispielsweise der Interaktion mit dem Dateisystem des Geräts (einschließlich Erstellen, Ändern, Extrahieren und Löschen von Dateien), der Verwaltung von Prozessen (Auflisten und Beenden), dem Extrahieren von Zeichenfolgen zum Sammeln von Anmeldeinformationen des Opfers und der Überwachung des geografischen Standorts des Opfers.
Bei der Analyse von TriangleDB entdeckten die Kaspersky-Experten, dass die Klasse CRConfig eine ungenutzte Methode namens populateWithFieldsMacOSOnly enthält. Obwohl diese Methode bei der iOS-Infektion nicht verwendet wird, deutet ihre Existenz darauf hin, dass macOS-Geräte möglicherweise angegriffen werden.
Kaspersky empfiehlt Benutzern, die folgenden Maßnahmen zu ergreifen, um nicht Opfer gezielter Angriffe zu werden: Verwenden Sie für Endpunktschutz, Untersuchung und Reaktion eine zuverlässige Sicherheitslösung für Unternehmen, beispielsweise die Kaspersky Unified Monitoring and Analysis Platform (KUMA). Aktualisieren Sie Microsoft Windows-Betriebssysteme und Software von Drittanbietern so schnell wie möglich und regelmäßig. Gewähren Sie SOC-Teams Zugriff auf die neueste Threat Intelligence (TI). Kaspersky Threat Intelligence ist eine einfache Zugriffsquelle für Unternehmens-TI und bietet 20 Jahre Cyberangriffsdaten und Erkenntnisse von Kaspersky. Rüsten Sie Cybersicherheitsteams mit dem von Experten bei GreAT entwickelten Online-Schulungskurs von Kaspersky für den Umgang mit den neuesten gezielten Bedrohungen. Da viele gezielte Angriffe mit Phishing- oder Social-Engineering-Taktiken beginnen, bieten Sie Ihren Unternehmensmitarbeitern Schulungen zum Sicherheitsbewusstsein und zu Kompetenzen an, beispielsweise mit der Kaspersky Automated Security Awareness Platform …
„Als wir den Angriff genauer untersuchten, entdeckten wir, dass diese ausgeklügelte iOS-Infektion mehrere merkwürdige Merkmale aufwies. Wir analysieren die Kampagne weiterhin und halten Sie auf dem Laufenden, sobald wir mehr über diesen ausgeklügelten Angriff erfahren. Wir fordern die Cybersicherheits-Community dringend auf, Wissen auszutauschen und zusammenzuarbeiten, um ein klareres Bild der Bedrohungen zu erhalten“, sagte Georgy Kucherin, Sicherheitsexperte im Global Research and Analysis Team von Kaspersky.
[Anzeige_2]
Quelle
Kommentar (0)