Kaspersky avslører informasjon om programvare som angriper iOS-enheter

[annonse_1]

SGGPO 30. juni 2023 15:12

Etter rapporter om Operation Triangulation-kampanjen som var rettet mot iOS-enheter, kastet Kaspersky-eksperter lys over detaljene rundt spionprogrammet som ble brukt i angrepet.

TriangleDB-skadevare har angrepet iOS-enheter

Kaspersky rapporterte nylig om en ny mobil APT-kampanje (Advanced Persistent Threat) som er rettet mot iOS-enheter via iMessage. Etter en seks måneder lang etterforskning har Kaspersky-forskere publisert en grundig analyse av angrepskjeden og detaljerte funn av spionprograminfeksjonen.

Programvaren, kalt TriangleDB, distribueres ved å utnytte en sårbarhet for å få root-tilgang på iOS-enheter. Når den er startet, opererer den bare i enhetens minne, så spor av infeksjonen forsvinner når enheten starter på nytt. Så hvis offeret starter enheten på nytt, må angriperen infisere enheten på nytt ved å sende en ny iMessage med et skadelig vedlegg, og dermed starte hele utnyttelsesprosessen på nytt.

Hvis enheten ikke startes på nytt, vil programvaren automatisk avinstallere seg selv etter 30 dager, med mindre angriperne forlenger denne perioden. TriangleDB fungerer som et sofistikert spionprogram og utfører en rekke datainnsamlings- og overvåkingsfunksjoner.

Programvaren inneholder 24 kommandoer med ulike funksjoner. Disse kommandoene tjener ulike formål, som å samhandle med enhetens filsystem (inkludert opprette, endre, pakke ut og slette filer), administrere prosesser (liste opp og avslutte), trekke ut strenger for å samle inn offerets legitimasjon og overvåke offerets geografiske plassering.

Under analysen av TriangleDB oppdaget Kaspersky-eksperter at CRConfig-klassen inneholder en ubrukt metode kalt populateWithFieldsMacOSOnly. Selv om den ikke brukes i iOS-infeksjonen, antyder tilstedeværelsen muligheten til å målrette macOS-enheter.

Kaspersky anbefaler at brukere tar følgende tiltak for å unngå å bli ofre for målrettede angrep: For endepunktbeskyttelse, etterforskning og rettidig respons, bruk en pålitelig bedriftssikkerhetsløsning, for eksempel Kaspersky Unified Monitoring and Analysis Platform (KUMA); Oppdater Microsoft Windows-operativsystemer og tredjepartsprogramvare så snart som mulig, og regelmessig; Gi SOC-team tilgang til den nyeste trusselinformasjonen (TI). Kaspersky Threat Intelligence er en enkel kilde til tilgang til bedrifts-TI, som gir 20 år med data om cyberangrep, informasjon og rapporter fra Kaspersky; Utstyr cybersikkerhetsteam til å takle de nyeste målrettede truslene med Kasperskys nettbaserte opplæring, utviklet av eksperter hos GreAT; Siden mange målrettede angrep starter med phishing eller sosial manipulering, gi opplæring i sikkerhetsbevissthet og ferdighetstrening til bedriftsansatte, for eksempel Kaspersky Automated Security Awareness Platform…

«Etter hvert som vi gravde dypere i angrepet, oppdaget vi at denne sofistikerte iOS-infeksjonen hadde flere merkelige funksjoner. Vi fortsetter å analysere kampanjen og vil holde alle oppdatert etter hvert som vi lærer mer om dette sofistikerte angrepet. Vi oppfordrer nettsikkerhetsmiljøet til å dele kunnskap og samarbeide for å få et klarere bilde av truslene der ute», sa Georgy Kucherin, sikkerhetsekspert ved Kasperskys globale forsknings- og analyseteam.

[annonse_2]
Kilde