Kaspersky avslöjar information om skadlig kod som attackerar iOS-enheter.

[annons_1]

SGGPO 30 juni 2023 15:12

Efter rapporter om att Operation Triangulation riktade sig mot iOS-enheter, har Kasperskys experter belyst detaljerna kring spionprogrammet som användes i attacken.

TriangleDB-programvara har attackerat iOS-enheter.

Kaspersky rapporterade nyligen om en ny mobil APT-kampanj (Advanced Persistent Threat) som riktar sig mot iOS-enheter via iMessage. Efter en sex månader lång utredning publicerade Kasperskys forskare en djupgående analys av attackkedjan och detaljerade resultat om spionprogramsinfektionsaktiviteten.

Denna skadliga kod, kallad TriangleDB, distribueras genom att utnyttja en sårbarhet för att få root-åtkomst på iOS-enheter. När den väl har startats fungerar den bara i enhetens minne, så infektionsspåret försvinner när enheten startas om. Om offret startar om enheten måste angriparen därför infektera enheten igen genom att skicka ett nytt iMessage med en skadlig bilaga, vilket startar om hela exploateringsprocessen.

Om enheten inte startar om avinstalleras programvaran automatiskt efter 30 dagar, såvida inte angriparna förlänger denna period. TriangleDB fungerar som sofistikerat spionprogram och utför ett flertal datainsamlings- och övervakningsfunktioner.

Programvaran innehåller 24 kommandon med olika funktioner. Dessa kommandon tjänar olika syften, såsom att interagera med enhetens filsystem (inklusive att skapa, ändra, extrahera och ta bort filer), hantera processer (lista och avsluta), extrahera strängar för att samla in offrets inloggningsinformation och övervaka offrets geografiska plats.

Under analys av TriangleDB upptäckte Kaspersky-experter att CRConfig-klassen innehåller en oanvänd metod som heter popatedWithFieldsMacOSOnly. Även om den inte används i iOS-skadlig programvara, tyder dess närvaro på potential att rikta in sig på macOS-enheter.

Kaspersky rekommenderar att användare vidtar följande åtgärder för att undvika att bli offer för riktade attacker: För snabb skydd, utredning och respons på endpoint-nivå, använd en pålitlig företagssäkerhetslösning, till exempel Kaspersky Unified Monitoring and Analysis Platform (KUMA); Uppdatera Microsoft Windows-operativsystem och programvara från tredje part så snart som möjligt, och gör det regelbundet; Ge SOC-team tillgång till den senaste Threat Intelligence (TI)-data. Kaspersky Threat Intelligence är en enkel källa för åtkomst till företagets TI, som tillhandahåller data om cyberattacker och rapporter från Kaspersky under de senaste 20 åren; Utrusta cybersäkerhetsteam med de färdigheter som krävs för att hantera de senaste riktade hoten genom Kasperskys onlineutbildning, utvecklad av experter på GreAT; Eftersom många riktade attacker börjar med phishing eller social engineering, ge utbildning i säkerhetsmedvetenhet och vägledning om nödvändiga färdigheter för företagets anställda, till exempel Kaspersky Automated Security Awareness Platform…

Georgy Kucherin, säkerhetsexpert på Kasperskys globala forsknings- och analysgrupp, sa: ”När vi fördjupade oss i attacken upptäckte vi att denna sofistikerade iOS-skadliga kod hade flera ovanliga egenskaper. Vi fortsätter att analysera kampanjen och kommer att ge alla mer djupgående information om denna sofistikerade attack. Vi uppmanar cybersäkerhetsgemenskapen att dela kunskap och samarbeta för att få en tydligare bild av hoten som finns.”

Kommentar (0)