Kaspersky ujawnia informacje o oprogramowaniu atakującym urządzenia z systemem iOS

[reklama_1]

SGGPO 30 czerwca 2023 15:12

W odpowiedzi na doniesienia o kampanii Operation Triangulation wymierzonej w urządzenia z systemem iOS eksperci z firmy Kaspersky rzucili światło na szczegóły dotyczące oprogramowania szpiegującego użytego w ataku.

Szkodliwe oprogramowanie TriangleDB zaatakowało urządzenia z systemem iOS

Firma Kaspersky poinformowała niedawno o nowej mobilnej kampanii APT (Advanced Persistent Threat) atakującej urządzenia z systemem iOS za pośrednictwem iMessage. Po sześciomiesięcznym dochodzeniu badacze z Kaspersky opublikowali dogłębną analizę łańcucha ataków i szczegółowe wyniki dotyczące infekcji spyware.

Oprogramowanie o nazwie TriangleDB jest wdrażane poprzez wykorzystanie luki w zabezpieczeniach, aby uzyskać dostęp do roota na urządzeniach z systemem iOS. Po uruchomieniu działa tylko w pamięci urządzenia, więc ślady infekcji znikają po jego ponownym uruchomieniu. Jeśli więc ofiara zrestartuje urządzenie, atakujący musi je ponownie zainfekować, wysyłając kolejną wiadomość iMessage ze złośliwym załącznikiem, co rozpoczyna cały proces od nowa.

Jeśli urządzenie nie zostanie ponownie uruchomione, oprogramowanie automatycznie odinstaluje się po 30 dniach, chyba że atakujący wydłużą ten okres. Działając jak wyrafinowany program szpiegujący, TriangleDB realizuje szereg funkcji gromadzenia i monitorowania danych.

Oprogramowanie zawiera 24 polecenia o zróżnicowanych funkcjach. Polecenia te służą różnym celom, takim jak interakcja z systemem plików urządzenia (w tym tworzenie, modyfikowanie, wyodrębnianie i usuwanie plików), zarządzanie procesami (wyświetlanie i zamykanie), wyodrębnianie ciągów znaków w celu zebrania danych uwierzytelniających ofiary oraz monitorowanie jej lokalizacji geograficznej.

Analizując TriangleDB, eksperci z Kaspersky Lab odkryli, że klasa CRConfig zawiera nieużywaną metodę o nazwie populateWithFieldsMacOSOnly. Chociaż nie jest ona używana w infekcji iOS, jej obecność sugeruje możliwość atakowania urządzeń z systemem macOS.

Firma Kaspersky zaleca użytkownikom podjęcie następujących działań w celu uniknięcia stania się ofiarą ataków ukierunkowanych: W celu ochrony punktów końcowych, prowadzenia dochodzeń i szybkiej reakcji należy korzystać z niezawodnego rozwiązania bezpieczeństwa dla przedsiębiorstw, takiego jak Kaspersky Unified Monitoring and Analysis Platform (KUMA); Aktualizować systemy operacyjne Microsoft Windows i oprogramowanie innych firm jak najszybciej i regularnie; Zapewnić zespołom SOC dostęp do najnowszych danych Threat Intelligence (TI). Kaspersky Threat Intelligence to proste źródło dostępu do korporacyjnych danych TI, oferujące 20 lat danych, informacji i raportów na temat cyberataków od Kaspersky; Wyposaż zespoły ds. cyberbezpieczeństwa w narzędzia do radzenia sobie z najnowszymi zagrożeniami ukierunkowanymi dzięki szkoleniom online firmy Kaspersky, opracowanym przez ekspertów z GreAT; Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub socjotechniki, należy zapewnić pracownikom firmy szkolenia z zakresu świadomości bezpieczeństwa i umiejętności, takie jak Kaspersky Automated Security Awareness Platform…

„Wnikliwie analizując atak, odkryliśmy, że ta zaawansowana infekcja systemu iOS charakteryzowała się kilkoma nietypowymi cechami. Nadal analizujemy tę kampanię i będziemy informować wszystkich na bieżąco o postępach w dowiadywaniu się więcej na temat tego zaawansowanego ataku. Apelujemy do społeczności zajmującej się cyberbezpieczeństwem o dzielenie się wiedzą i współpracę w celu uzyskania jaśniejszego obrazu zagrożeń” – powiedział Georgij Kuczerin, ekspert ds. bezpieczeństwa w Globalnym Zespole ds. Badań i Analiz w firmie Kaspersky.

Źródło