SGGPO
Nach Berichten über die Kampagne „Operation Triangulation“, die auf iOS-Geräte abzielte, haben die Experten von Kaspersky die Details der bei dem Angriff verwendeten Spyware enthüllt.
 |
| TriangleDB-Malware hat iOS-Geräte befallen |
Kaspersky berichtete kürzlich über eine neue mobile APT-Kampagne (Advanced Persistent Threat), die iOS-Geräte über iMessage angreift. Nach sechsmonatiger Untersuchung veröffentlichten Kaspersky-Forscher eine detaillierte Analyse der Exploit-Kette sowie detaillierteErkenntnisse zur Spyware-Infektion.
Die Schadsoftware namens TriangleDB wird über eine Schwachstelle verbreitet, die Root-Zugriff auf iOS-Geräten ermöglicht. Nach dem Start agiert sie ausschließlich im Speicher des Geräts, sodass Spuren der Infektion beim Neustart des Geräts verschwinden. Startet das Opfer das Gerät neu, muss der Angreifer es erneut infizieren, indem er eine weitere iMessage mit einem schädlichen Anhang sendet. Dadurch beginnt der gesamte Exploit-Prozess von vorne.
Wird das Gerät nicht neu gestartet, wird die Software nach 30 Tagen automatisch deinstalliert, sofern die Angreifer diese Frist nicht verlängern. TriangleDB fungiert als hochentwickelte Spyware und bietet verschiedene Datenerfassungs- und Überwachungsfunktionen.
Die Software enthält 24 Befehle mit unterschiedlichen Funktionen. Diese dienen verschiedenen Zwecken, beispielsweise der Interaktion mit dem Dateisystem des Geräts (einschließlich Erstellen, Ändern, Extrahieren und Löschen von Dateien), der Verwaltung von Prozessen (Auflisten und Beenden), dem Extrahieren von Zeichenfolgen zum Sammeln von Anmeldeinformationen des Opfers und der Überwachung des geografischen Standorts des Opfers.
Bei der Analyse von TriangleDB entdeckten Kaspersky-Experten, dass die Klasse CRConfig eine ungenutzte Methode namens populateWithFieldsMacOSOnly enthält. Obwohl diese Methode bei der iOS-Infektion nicht zum Einsatz kommt, deutet ihre Existenz darauf hin, dass macOS-Geräte angegriffen werden könnten.
Kaspersky empfiehlt Nutzern, die folgenden Maßnahmen zu ergreifen, um gezielten Angriffen vorzubeugen: Nutzen Sie für Endpunktschutz, Untersuchung und Reaktion eine zuverlässige Sicherheitslösung für Unternehmen, wie beispielsweise die Kaspersky Unified Monitoring and Analysis Platform (KUMA). Aktualisieren Sie Microsoft Windows-Betriebssysteme und Drittanbietersoftware so schnell wie möglich und regelmäßig. Gewähren Sie SOC-Teams Zugriff auf die neueste Threat Intelligence (TI). Kaspersky Threat Intelligence ist eine einfache Quelle für Unternehmens-TI und bietet 20 Jahre Cyberangriffsdaten und -erkenntnisse von Kaspersky. Rüsten Sie Cybersicherheitsteams mit dem von GreAT-Experten entwickelten Online-Schulungskurs von Kaspersky für den Umgang mit den neuesten gezielten Bedrohungen. Da viele gezielte Angriffe mit Phishing- oder Social-Engineering-Taktiken beginnen, bieten Sie Ihren Mitarbeitern Schulungen zum Sicherheitsbewusstsein und zu Kompetenzen an, beispielsweise mit der Kaspersky Automated Security Awareness Platform.
„Als wir den Angriff genauer untersuchten, stellten wir fest, dass diese ausgeklügelte iOS-Infektion mehrere merkwürdige Merkmale aufwies. Wir analysieren die Kampagne weiterhin und halten Sie auf dem Laufenden, sobald wir mehr über diesen raffinierten Angriff erfahren. Wir fordern die Cybersicherheits-Community dringend auf, Wissen auszutauschen und zusammenzuarbeiten, um ein klareres Bild der Bedrohungen zu erhalten“, sagte Georgy Kucherin, Sicherheitsexperte im Global Research and Analysis Team von Kaspersky.
[Anzeige_2]
Quelle
Kommentar (0)