Kaspersky ujawnia informacje o złośliwym oprogramowaniu atakującym urządzenia z systemem iOS.

[reklama_1]

SGGPO 30 czerwca 2023 15:12

W odpowiedzi na doniesienia o operacji Triangulation wymierzonej w urządzenia z systemem iOS eksperci z firmy Kaspersky rzucili światło na szczegóły dotyczące oprogramowania szpiegującego użytego w ataku.

Oprogramowanie TriangleDB zaatakowało urządzenia iOS.

Firma Kaspersky poinformowała niedawno o nowej mobilnej kampanii APT (Advanced Persistent Threat) atakującej urządzenia z systemem iOS za pośrednictwem iMessage. Po sześciomiesięcznym dochodzeniu badacze z Kaspersky opublikowali dogłębną analizę łańcucha ataków oraz szczegółowe ustalenia dotyczące aktywności infekcji spyware.

To złośliwe oprogramowanie, o nazwie TriangleDB, jest wdrażane poprzez wykorzystanie luki w zabezpieczeniach w celu uzyskania dostępu do konta root na urządzeniach z systemem iOS. Po uruchomieniu działa tylko w pamięci urządzenia, więc ślad infekcji znika po jego ponownym uruchomieniu. W związku z tym, jeśli ofiara uruchomi ponownie urządzenie, atakujący musi ponownie zainfekować urządzenie, wysyłając kolejną wiadomość iMessage ze złośliwym załącznikiem, co ponownie uruchomi cały proces ataku.

Jeśli urządzenie nie uruchomi się ponownie, oprogramowanie zostanie automatycznie odinstalowane po 30 dniach, chyba że atakujący wydłużą ten okres. Działając jako zaawansowane oprogramowanie szpiegujące, TriangleDB realizuje liczne funkcje gromadzenia i monitorowania danych.

Oprogramowanie zawiera 24 polecenia o zróżnicowanych funkcjach. Polecenia te służą różnym celom, takim jak interakcja z systemem plików urządzenia (w tym tworzenie, modyfikowanie, wyodrębnianie i usuwanie plików), zarządzanie procesami (wyświetlanie i zamykanie), wyodrębnianie ciągów znaków w celu zebrania danych logowania ofiary oraz monitorowanie jej lokalizacji geograficznej.

Analizując bazę danych TriangleDB, eksperci z Kaspersky Lab odkryli, że klasa CRConfig zawiera nieużywaną metodę o nazwie popatedWithFieldsMacOSOnly. Chociaż nie jest ona używana w złośliwym oprogramowaniu dla systemu iOS, jej obecność sugeruje, że potencjalnie atakuje urządzenia z systemem macOS.

Firma Kaspersky zaleca użytkownikom podjęcie następujących działań w celu uniknięcia stania się ofiarą ataków ukierunkowanych: Aby zapewnić szybką ochronę, analizę i reakcję na poziomie punktów końcowych, należy korzystać z niezawodnego rozwiązania bezpieczeństwa dla przedsiębiorstw, takiego jak Kaspersky Unified Monitoring and Analysis Platform (KUMA); Aktualizować systemy operacyjne Microsoft Windows i oprogramowanie innych firm tak szybko, jak to możliwe, i robić to regularnie; Zapewnić zespołom SOC dostęp do najnowszych danych Threat Intelligence (TI). Kaspersky Threat Intelligence to proste źródło dostępu do firmowego TI, dostarczające dane na temat cyberataków i raporty z ostatnich 20 lat; Wyposażyć zespoły ds. cyberbezpieczeństwa w umiejętności radzenia sobie z najnowszymi ukierunkowanymi zagrożeniami poprzez szkolenia online firmy Kaspersky, opracowane przez ekspertów z GreAT; Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub socjotechniki, należy zapewnić szkolenia z zakresu świadomości bezpieczeństwa i wskazówki dotyczące niezbędnych umiejętności dla pracowników firmy, takie jak Kaspersky Automated Security Awareness Platform…

Georgij Kuczerin, ekspert ds. bezpieczeństwa w Globalnym Zespole Badań i Analiz firmy Kaspersky, powiedział: „W miarę jak zagłębialiśmy się w atak, odkryliśmy, że to wyrafinowane złośliwe oprogramowanie dla systemu iOS miało kilka nietypowych cech. Kontynuujemy analizę kampanii i udostępnimy wszystkim bardziej szczegółowe informacje na temat tego wyrafinowanego ataku. Apelujemy do społeczności zajmującej się cyberbezpieczeństwem o dzielenie się wiedzą i współpracę w celu uzyskania jaśniejszego obrazu zagrożeń”.

Źródło