A Kaspersky információkat hoz nyilvánosságra az iOS-eszközöket támadó szoftverekről

[hirdetés_1]

SGGPO 2023. június 30. 15:12

Az iOS-eszközöket célzó Operation Triangulation kampányról szóló jelentéseket követően a Kaspersky szakértői fényt derítettek a támadásban használt kémprogram részleteire.

TriangleDB kártevő érte az iOS eszközöket

A Kaspersky nemrégiben beszámolt egy új mobil APT (Advanced Persistent Threat) kampányról, amely az iMessage-en keresztül iOS-eszközöket céloz meg. Hat hónapos vizsgálat után a Kaspersky kutatói közzétették a támadási láncolat mélyreható elemzését és a kémprogram-fertőzéssel kapcsolatos részletes megállapításokat .

A TriangleDB nevű szoftver egy sebezhetőség kihasználásával telepíthető, hogy root hozzáférést szerezzen iOS-eszközökön. Elindítás után csak az eszköz memóriájában működik, így a fertőzés nyomai eltűnnek az eszköz újraindításakor. Tehát, ha az áldozat újraindítja az eszközt, a támadónak újra kell fertőznie azt egy újabb iMessage üzenet küldésével egy rosszindulatú melléklettel, és ezzel újra kell kezdenie a teljes kihasználási folyamatot.

Ha az eszközt nem indítják újra, a szoftver 30 nap elteltével automatikusan eltávolítja magát, kivéve, ha a támadók meghosszabbítják ezt az időszakot. Kifinomult kémprogramként a TriangleDB különféle adatgyűjtési és megfigyelési képességeket lát el.

A szoftver 24 parancsot tartalmaz, amelyek különböző funkciókat kínálnak. Ezek a parancsok különféle célokat szolgálnak, például az eszköz fájlrendszerével való interakciót (beleértve a fájlok létrehozását, módosítását, kibontását és törlését), a folyamatok kezelését (listázás és leállítás), karakterláncok kinyerését az áldozat hitelesítő adatainak gyűjtéséhez, valamint az áldozat földrajzi helyének figyelését.

A TriangleDB elemzése során a Kaspersky szakértői felfedezték, hogy a CRConfig osztály tartalmaz egy nem használt, populateWithFieldsMacOSOnly nevű metódust. Bár ezt nem használják az iOS fertőzésben, jelenléte arra utal, hogy képes macOS eszközöket is célba venni.

A Kaspersky azt javasolja, hogy a felhasználók a következő intézkedéseket tegyék meg a célzott támadások áldozatává válás elkerülése érdekében: A végpontok védelme, a kivizsgálás és az időben történő reagálás érdekében használjanak megbízható vállalati biztonsági megoldást, például a Kaspersky Unified Monitoring and Analysis Platformot (KUMA); A lehető leghamarabb és rendszeresen frissítsék a Microsoft Windows operációs rendszereket és a harmadik féltől származó szoftvereket; Biztosítsanak hozzáférést a SOC csapatoknak a legfrissebb fenyegetésfelderítési információkhoz (TI). A Kaspersky Threat Intelligence egy egyszerű hozzáférési forrás a vállalati TI-hez, amely 20 évnyi kibertámadási adatot, információt és jelentést nyújt a Kasperskytől; Szereljék fel a kiberbiztonsági csapatokat a legújabb célzott fenyegetések kezelésére a Kaspersky online képzésével, amelyet a GreAT szakértői fejlesztettek ki; Mivel sok célzott támadás adathalászattal vagy társadalmi manipulációs taktikákkal kezdődik, biztosítsanak biztonságtudatossági képzést és készségfejlesztő képzést a vállalati alkalmazottak számára, például a Kaspersky Automated Security Awareness Platform…

„Ahogy mélyebbre ástunk a támadásban, felfedeztük, hogy ez a kifinomult iOS-fertőzés számos furcsa tulajdonsággal rendelkezik. Továbbra is elemezzük a kampányt, és mindenkit tájékoztatni fogunk, amint többet megtudunk erről a kifinomult támadásról. Arra kérjük a kiberbiztonsági közösséget, hogy osszák meg tudásukat és működjenek együtt, hogy tisztább képet kapjanak a kinti fenyegetésekről” – mondta Georgy Kucherin, a Kaspersky Globális Kutató és Elemző Csapatának biztonsági szakértője.

[hirdetés_2]
Forrás