СГГПО
После сообщений о кампании Operation Triangulation, нацеленной на устройства iOS, эксперты «Лаборатории Касперского» пролили свет на детали шпионского ПО, использованного при атаке.
 |
| Вредоносное ПО TriangleDB поразило устройства iOS |
Недавно компания Kaspersky сообщила о новой мобильной кампании APT (Advanced Persistent Threat), нацеленной на устройства iOS через iMessage. После шестимесячного расследования исследователи компании Kaspersky опубликовали подробный анализ цепочки эксплойтов и подробные выводы о заражении шпионским ПО.
Вредоносная программа под названием TriangleDB внедряется путем эксплуатации уязвимости, которая позволяет ей получить root-доступ на устройствах iOS. После запуска она работает только в памяти устройства, поэтому следы заражения исчезают при перезагрузке устройства. Поэтому, если жертва перезагрузит устройство, злоумышленнику необходимо повторно заразить устройство, отправив еще одно сообщение iMessage с вредоносным вложением, заново запуская весь процесс эксплуатации.
Если устройство не перезагрузить, программное обеспечение автоматически удалит его через 30 дней, если только злоумышленники не продлят этот период. TriangleDB, действуя как сложная шпионская программа, выполняет множество функций по сбору и мониторингу данных.
Программное обеспечение включает 24 команды с разнообразными функциями. Эти команды служат различным целям, таким как взаимодействие с файловой системой устройства (включая создание, изменение, извлечение и удаление файлов), управление процессами (перечисление и завершение), извлечение строк для сбора учетных данных жертвы и мониторинг географического местоположения жертвы.
При анализе TriangleDB эксперты «Лаборатории Касперского» обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Хотя он не используется при заражении iOS, его наличие предполагает возможность атаки на устройства macOS.
Kaspersky рекомендует пользователям принять следующие меры, чтобы не стать жертвой целевых атак: Для защиты конечных точек, расследования и реагирования используйте надежное решение для обеспечения безопасности предприятия, например, Kaspersky Unified Monitoring and Analysis Platform (KUMA); Обновляйте операционные системы Microsoft Windows и стороннее программное обеспечение как можно скорее и регулярно; Предоставляйте группам SOC доступ к последним данным Threat Intelligence (TI). Kaspersky Threat Intelligence — это простой источник доступа для корпоративных TI, предоставляющий 20-летние данные и аналитику о кибератаках от Kaspersky; Оснащайте группы по кибербезопасности для борьбы с последними целевыми угрозами с помощью онлайн-курса обучения Kaspersky, разработанного экспертами GreAT; Поскольку многие целевые атаки начинаются с фишинга или тактики социальной инженерии, проводите обучение по повышению осведомленности и навыкам безопасности для сотрудников вашей компании, например, с помощью Kaspersky Automated Security Awareness Platform…
«По мере того, как мы углублялись в атаку, мы обнаружили, что эта сложная инфекция iOS имела несколько странных особенностей. Мы продолжаем анализировать кампанию и будем держать всех в курсе, когда узнаем больше об этой сложной атаке. Мы призываем сообщество кибербезопасности делиться знаниями и сотрудничать, чтобы получить более ясную картину существующих угроз», — сказал Георгий Кучерин, эксперт по безопасности в Глобальной исследовательской и аналитической группе «Лаборатории Касперского».
Источник
Комментарий (0)