SGGPO
Suite aux rapports faisant état de la campagne Operation Triangulation ciblant les appareils iOS, les experts de Kaspersky ont fait la lumière sur les détails du logiciel espion utilisé dans l'attaque.
 |
| Le malware TriangleDB a frappé les appareils iOS |
Kaspersky a récemment signalé une nouvelle campagne APT (Advanced Persistent Threat) mobile ciblant les appareils iOS via iMessage. Après six mois d'enquête, les chercheurs de Kaspersky ont publié une analyse approfondie de la chaîne d'exploitation et des conclusions détaillées sur l'infection par le logiciel espion.
Le malware, appelé TriangleDB, est déployé en exploitant une vulnérabilité lui permettant d'accéder à l'accès root des appareils iOS. Une fois lancé, il n'agit que dans la mémoire de l'appareil ; les traces de l'infection disparaissent donc au redémarrage de l'appareil. Ainsi, si la victime redémarre l'appareil, l'attaquant doit le réinfecter en lui envoyant un autre iMessage contenant une pièce jointe malveillante, recommençant ainsi le processus d'exploitation.
Si l'appareil n'est pas redémarré, le logiciel se désinstallera automatiquement après 30 jours, sauf si les attaquants prolongent ce délai. Agissant comme un logiciel espion sophistiqué, TriangleDB effectue diverses opérations de collecte et de surveillance de données.
Le logiciel comprend 24 commandes aux fonctions variées. Ces commandes servent à diverses fins, telles que l'interaction avec le système de fichiers de l'appareil (création, modification, extraction et suppression de fichiers), la gestion des processus (liste et arrêt), l'extraction de chaînes pour collecter les identifiants de la victime et la surveillance de sa localisation géographique.
Lors de l'analyse de TriangleDB, les experts de Kaspersky ont découvert que la classe CRConfig contenait une méthode inutilisée appelée populateWithFieldsMacOSOnly. Bien qu'elle ne soit pas utilisée dans l'infection iOS, sa présence suggère qu'elle pourrait cibler les appareils macOS.
Kaspersky recommande aux utilisateurs de prendre les mesures suivantes pour éviter d'être victimes d'attaques ciblées : pour la protection, l'investigation et la réponse aux terminaux, utilisez une solution de sécurité d'entreprise fiable, telle que Kaspersky Unified Monitoring and Analysis Platform (KUMA) ; mettez à jour les systèmes d'exploitation Microsoft Windows et les logiciels tiers dès que possible et régulièrement ; fournissez aux équipes SOC un accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence est une source d'accès simple pour les informations sur les menaces d'entreprise, fournissant 20 ans de données et d'analyses Kaspersky sur les cyberattaques ; équipez les équipes de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky, développée par les experts de GreAT ; étant donné que de nombreuses attaques ciblées commencent par des tactiques de phishing ou d'ingénierie sociale, proposez des formations de sensibilisation à la sécurité et des formations aux compétences aux employés de votre entreprise, telles que Kaspersky Automated Security Awareness Platform…
« En approfondissant l'analyse de l'attaque, nous avons découvert que cette infection iOS sophistiquée présentait plusieurs caractéristiques étranges. Nous continuons d'analyser la campagne et nous vous tiendrons informés dès que nous en saurons plus sur cette attaque sophistiquée. Nous encourageons la communauté de la cybersécurité à partager ses connaissances et à collaborer afin d'obtenir une vision plus claire des menaces », a déclaré Georgy Kucherin, expert en sécurité au sein de l'équipe mondiale de recherche et d'analyse de Kaspersky.
Source
Comment (0)