A Kaspersky információkat hoz nyilvánosságra az iOS-eszközöket támadó szoftverekről

[hirdetés_1]

SGGPO 2023.06.30. 15:12

Az iOS-eszközöket célzó Operation Triangulation kampányról szóló jelentéseket követően a Kaspersky szakértői fényt derítettek a támadásban használt kémprogram részleteire.

TriangleDB kártevő érte az iOS eszközöket

A Kaspersky nemrégiben beszámolt egy új mobil APT (Advanced Persistent Threat) kampányról, amely az iMessage-en keresztül iOS-eszközöket céloz meg. Hat hónapos vizsgálat után a Kaspersky kutatói közzétették a támadási láncolat mélyreható elemzését és a kémprogram-fertőzéssel kapcsolatos részletes megállapításokat .

A TriangleDB nevű rosszindulatú program egy olyan sebezhetőséget kihasználva telepíthető, amely lehetővé teszi számára a root hozzáférés megszerzését iOS-eszközökön. Elindítás után csak az eszköz memóriájában működik, így a fertőzés nyomai eltűnnek az eszköz újraindításakor. Tehát, ha az áldozat újraindítja az eszközt, a támadónak újra kell fertőznie azt egy újabb iMessage üzenet küldésével egy rosszindulatú melléklettel, és elölről kell kezdenie a teljes kihasználási folyamatot.

Ha az eszközt nem indítják újra, a szoftver 30 nap elteltével automatikusan eltávolításra kerül, kivéve, ha a támadók meghosszabbítják ezt az időszakot. Kifinomult kémprogramként a TriangleDB különféle adatgyűjtési és -figyelési képességeket lát el.

A szoftver 24 parancsot tartalmaz, amelyek különböző funkciókat kínálnak. Ezek a parancsok különféle célokat szolgálnak, például az eszköz fájlrendszerével való interakciót (beleértve a fájlok létrehozását, módosítását, kibontását és törlését), a folyamatok kezelését (listázás és leállítás), karakterláncok kinyerését az áldozat hitelesítő adatainak gyűjtéséhez, valamint az áldozat földrajzi helyének figyelését.

A TriangleDB elemzése során a Kaspersky szakértői felfedezték, hogy a CRConfig osztály tartalmaz egy nem használt, populateWithFieldsMacOSOnly nevű metódust. Bár ezt nem használták az iOS fertőzésben, jelenléte arra utal, hogy macOS eszközöket is célba lehetett venni.

A Kaspersky azt javasolja, hogy a felhasználók a következő intézkedéseket tegyék meg a célzott támadások áldozatává válás elkerülése érdekében: A végpontok védelme, a kivizsgálás és a reagálás érdekében használjanak megbízható vállalati biztonsági megoldást, például a Kaspersky Unified Monitoring and Analysis Platformot (KUMA); Frissítsék a Microsoft Windows operációs rendszereket és a harmadik féltől származó szoftvereket a lehető leghamarabb és rendszeresen; Biztosítsanak hozzáférést a SOC csapatoknak a legfrissebb fenyegetésfelderítési információkhoz (TI). A Kaspersky Threat Intelligence egy egyszerű hozzáférési forrás a vállalati TI számára, amely 20 évnyi kibertámadási adatot és betekintést nyújt a Kasperskytől; Szereljék fel a kiberbiztonsági csapatokat a legújabb célzott fenyegetések kezelésére a Kaspersky online képzésével, amelyet a GreAT szakértői fejlesztettek ki; Mivel sok célzott támadás adathalászattal vagy társadalmi manipulációs taktikával kezdődik, biztosítsanak biztonságtudatossági képzést és készségfejlesztő képzést a vállalati alkalmazottaknak, például a Kaspersky Automated Security Awareness Platform…

„Ahogy egyre mélyebbre ástunk a támadásban, felfedeztük, hogy ez a kifinomult iOS-fertőzés számos furcsa tulajdonsággal rendelkezik. Továbbra is elemezzük a kampányt, és mindenkit tájékoztatni fogunk, amint többet megtudunk erről a kifinomult támadásról. Arra kérjük a kiberbiztonsági közösséget, hogy osszák meg tudásukat és működjenek együtt, hogy tisztább képet kapjanak a kinti fenyegetésekről” – mondta Georgy Kucherin, a Kaspersky Globális Kutató és Elemző Csapatának biztonsági szakértője.

[hirdetés_2]
Forrás