Η Kaspersky αποκαλύπτει πληροφορίες σχετικά με λογισμικό που επιτίθεται σε συσκευές iOS

[διαφήμιση_1]

ΣΓΚΠΟ 30/06/2023 15:12

Μετά από αναφορές για την εκστρατεία Operation Triangulation που στόχευε συσκευές iOS, οι ειδικοί της Kaspersky ρίχνουν φως στις λεπτομέρειες του spyware που χρησιμοποιήθηκε στην επίθεση.

Το κακόβουλο λογισμικό TriangleDB έχει πλήξει συσκευές iOS

Η Kaspersky ανέφερε πρόσφατα μια νέα καμπάνια APT (Advanced Persistent Threat - Προηγμένη Επίμονη Απειλή) για κινητά που στοχεύει συσκευές iOS μέσω iMessage. Μετά από μια εξάμηνη έρευνα, οι ερευνητές της Kaspersky δημοσίευσαν μια εις βάθος ανάλυση της αλυσίδας εκμετάλλευσης και λεπτομερή ευρήματα σχετικά με τη μόλυνση από spyware.

Το κακόβουλο λογισμικό, που ονομάζεται TriangleDB, αναπτύσσεται εκμεταλλευόμενο ένα κενό ασφαλείας που του επιτρέπει να αποκτήσει πρόσβαση root σε συσκευές iOS. Μόλις εκκινηθεί, λειτουργεί μόνο στη μνήμη της συσκευής, επομένως τα ίχνη της μόλυνσης εξαφανίζονται κατά την επανεκκίνηση της συσκευής. Έτσι, εάν το θύμα επανεκκινήσει τη συσκευή, ο εισβολέας πρέπει να μολύνει ξανά τη συσκευή στέλνοντας ένα άλλο iMessage με ένα κακόβουλο συνημμένο, ξεκινώντας ολόκληρη τη διαδικασία εκμετάλλευσης από την αρχή.

Εάν η συσκευή δεν επανεκκινηθεί, το λογισμικό θα απεγκατασταθεί αυτόματα μετά από 30 ημέρες, εκτός εάν οι εισβολείς παρατείνουν αυτήν την περίοδο. Λειτουργώντας ως ένα εξελιγμένο λογισμικό κατασκοπείας, το TriangleDB εκτελεί μια ποικιλία δυνατοτήτων συλλογής και παρακολούθησης δεδομένων.

Το λογισμικό περιλαμβάνει 24 εντολές με ποικίλες λειτουργίες. Αυτές οι εντολές εξυπηρετούν διάφορους σκοπούς, όπως η αλληλεπίδραση με το σύστημα αρχείων της συσκευής (συμπεριλαμβανομένης της δημιουργίας, τροποποίησης, εξαγωγής και διαγραφής αρχείων), η διαχείριση διαδικασιών (καταχώριση και τερματισμός), η εξαγωγή συμβολοσειρών για τη συλλογή διαπιστευτηρίων θύματος και η παρακολούθηση της γεωγραφικής θέσης του θύματος.

Κατά την ανάλυση του TriangleDB, οι ειδικοί της Kaspersky ανακάλυψαν ότι η κλάση CRConfig περιέχει μια αχρησιμοποίητη μέθοδο που ονομάζεται populateWithFieldsMacOSOnly. Παρόλο που δεν χρησιμοποιείται στη μόλυνση iOS, η παρουσία της υποδηλώνει την πιθανότητα στόχευσης συσκευών macOS.

Η Kaspersky συνιστά στους χρήστες να λαμβάνουν τα ακόλουθα μέτρα για να αποφύγουν να πέσουν θύματα στοχευμένων επιθέσεων: Για την προστασία, την έρευνα και την αντιμετώπιση των τελικών σημείων, χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας επιχειρήσεων, όπως το Kaspersky Unified Monitoring and Analysis Platform (KUMA). Ενημερώστε τα λειτουργικά συστήματα Microsoft Windows και το λογισμικό τρίτων το συντομότερο δυνατό και τακτικά. Παρέχετε στις ομάδες SOC πρόσβαση στην πιο πρόσφατη Πληροφόρηση Απειλών (TI). Το Kaspersky Threat Intelligence είναι μια απλή πηγή πρόσβασης για εταιρικές TI, παρέχοντας 20 χρόνια δεδομένων και πληροφοριών για κυβερνοεπιθέσεις από την Kaspersky. Εξοπλίστε τις ομάδες κυβερνοασφάλειας για την αντιμετώπιση των πιο πρόσφατων στοχευμένων απειλών με το διαδικτυακό εκπαιδευτικό πρόγραμμα της Kaspersky, το οποίο αναπτύχθηκε από ειδικούς στην GreAT. Δεδομένου ότι πολλές στοχευμένες επιθέσεις ξεκινούν με τακτικές ηλεκτρονικού "ψαρέματος" (phishing) ή κοινωνικής μηχανικής, παρέχετε εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας και κατάρτιση δεξιοτήτων στους υπαλλήλους της εταιρείας σας, όπως το Kaspersky Automated Security Awareness Platform...

«Καθώς εμβαθύναμε στην επίθεση, ανακαλύψαμε ότι αυτή η εξελιγμένη «μόλυνση» του iOS είχε αρκετά παράξενα χαρακτηριστικά. Συνεχίζουμε να αναλύουμε την καμπάνια και θα ενημερώνουμε τους πάντες καθώς μαθαίνουμε περισσότερα για αυτήν την εξελιγμένη επίθεση. Προτρέπουμε την κοινότητα της κυβερνοασφάλειας να μοιραστεί γνώσεις και να συνεργαστεί για να αποκτήσει μια πιο σαφή εικόνα των απειλών που υπάρχουν», δήλωσε ο Georgy Kucherin, ειδικός ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

[διαφήμιση_2]
Πηγή