Касперський розкриває інформацію про шкідливе програмне забезпечення, яке атакує пристрої iOS.

СГГПО 30 червня 2023 р., 15:12

Після повідомлень про операцію «Тріангуляція», спрямовану на пристрої iOS, експерти «Лабораторії Касперського» пролили світло на деталі шпигунського програмного забезпечення, яке використовувалося в атаці.

Програмне забезпечення TriangleDB атакувало пристрої iOS.

Нещодавно Kaspersky повідомив про нову мобільну APT-кампанію (Advanced Persistent Threat), спрямовану на пристрої iOS через iMessage. Після шестимісячного розслідування дослідники Kaspersky опублікували поглиблений аналіз ланцюжка експлойтів та детальні висновки про активність зараження шпигунським програмним забезпеченням.

Це шкідливе програмне забезпечення під назвою TriangleDB розгортається шляхом використання вразливості для отримання root-доступу на пристроях iOS. Після запуску воно працює лише в пам'яті пристрою, тому слід зараження зникає після перезавантаження пристрою. Тому, якщо жертва перезавантажує пристрій, зловмиснику потрібно повторно заразити його, надіславши ще одне iMessage зі шкідливим вкладенням, перезапустивши весь процес експлуатації.

Якщо пристрій не перезавантажиться, програмне забезпечення автоматично видалиться через 30 днів, якщо зловмисники не продовжать цей період. Працюючи як складне шпигунське програмне забезпечення, TriangleDB виконує численні можливості збору та моніторингу даних.

Програмне забезпечення містить 24 команди з різноманітними функціями. Ці команди виконують різні функції, такі як взаємодія з файловою системою пристрою (включаючи створення, зміну, вилучення та видалення файлів), керування процесами (перегляд та завершення), вилучення рядків для збору інформації для входу жертви та моніторинг географічного розташування жертви.

Під час аналізу TriangleDB експерти Kaspersky виявили, що клас CRConfig містить невикористаний метод під назвою popatedWithFieldsMacOSOnly. Хоча він не використовується у шкідливому програмному забезпеченні для iOS, його наявність свідчить про потенційну мішень для пристроїв macOS.

Kaspersky рекомендує користувачам вжити таких заходів, щоб уникнути стати жертвами цілеспрямованих атак: Для своєчасного захисту, розслідування та реагування на рівні кінцевих точок використовуйте надійне рішення для корпоративної безпеки, таке як Kaspersky Unified Monitoring and Analysis Platform (KUMA); Оновлюйте операційні системи Microsoft Windows та програмне забезпечення сторонніх виробників якомога швидше та робіть це регулярно; Надавайте командам SOC доступ до найновіших даних Threat Intelligence (TI). Kaspersky Threat Intelligence – це просте джерело доступу до TI компанії, що надає дані про кібератаки та звіти Kaspersky за останні 20 років; Оснащуйте команди кібербезпеки навичками для боротьби з найновішими цілеспрямованими загрозами за допомогою онлайн-навчання Kaspersky, розробленого експертами GreAT; Оскільки багато цілеспрямованих атак починаються з фішингу або тактики соціальної інженерії, надавайте співробітникам компанії навчання з питань безпеки та рекомендації щодо необхідних навичок, таких як Kaspersky Automated Security Awareness Platform…

Георгій Кучерін, експерт з безпеки Глобальної дослідницької та аналітичної групи Kaspersky, сказав: «Заглиблюючись у атаку, ми виявили, що це складне шкідливе програмне забезпечення для iOS мало кілька незвичайних характеристик. Ми продовжуємо аналізувати кампанію та надамо всім більш детальну інформацію про цю складну атаку. Ми закликаємо спільноту кібербезпеки ділитися знаннями та співпрацювати, щоб отримати чіткіше уявлення про існуючі загрози».

Джерело