СГГПО
После сообщений о кампании Operation Triangulation, нацеленной на устройства iOS, эксперты «Лаборатории Касперского» пролили свет на детали шпионского ПО, использованного при атаке.
 |
| Вредоносное ПО TriangleDB поразило устройства iOS |
Недавно «Лаборатория Касперского» сообщила о новой мобильной APT-кампании (Advanced Persistent Threat), нацеленной на устройства iOS через iMessage. После шестимесячного расследования специалисты «Лаборатории Касперского» опубликовали подробный анализ цепочки эксплойтов и подробные результаты исследования заражения шпионским ПО.
Вредоносное ПО TriangleDB внедряется, используя уязвимость, позволяющую получить root-доступ на устройствах iOS. После запуска оно работает только в памяти устройства, поэтому следы заражения исчезают при его перезагрузке. Таким образом, если жертва перезагрузит устройство, злоумышленнику необходимо повторно заразить устройство, отправив ещё одно сообщение iMessage с вредоносным вложением, и таким образом весь процесс эксплуатации будет запущен заново.
Если устройство не перезагрузить, программа автоматически удалит её через 30 дней, если только злоумышленники не продлят этот срок. TriangleDB, действуя как сложная шпионская программа, выполняет различные функции сбора и мониторинга данных.
Программное обеспечение включает 24 команды с разнообразными функциями. Эти команды служат различным целям, таким как взаимодействие с файловой системой устройства (включая создание, изменение, извлечение и удаление файлов), управление процессами (вывод списка и завершение), извлечение строк для сбора учётных данных жертвы и мониторинг её географического местоположения.
При анализе TriangleDB специалисты «Лаборатории Касперского» обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Хотя он не используется при заражении iOS, его наличие позволяет предположить возможность атаки на устройства macOS.
«Лаборатория Касперского» рекомендует пользователям принять следующие меры, чтобы не стать жертвой целевых атак: Для защиты конечных точек, расследования и реагирования используйте надежное корпоративное решение безопасности, такое как Kaspersky Unified Monitoring and Analysis Platform (KUMA); Регулярно обновляйте операционные системы Microsoft Windows и стороннее программное обеспечение как можно скорее; Предоставляйте командам SOC доступ к актуальной информации об угрозах (TI). Kaspersky Threat Intelligence — это простой источник доступа для корпоративных TI, предоставляющий данные и аналитику о кибератаках от «Лаборатории Касперского» за 20 лет; Предоставьте командам кибербезопасности возможность противодействовать новейшим целевым угрозам с помощью онлайн-курса «Лаборатории Касперского», разработанного экспертами GreAT; Поскольку многие целевые атаки начинаются с фишинга или социальной инженерии, организуйте для сотрудников вашей компании обучение по повышению осведомленности и развитию навыков безопасности, например, с помощью Kaspersky Automated Security Awareness Platform…
«По мере более глубокого изучения атаки мы обнаружили, что эта сложная инфекция iOS имела ряд странных особенностей. Мы продолжаем анализировать кампанию и будем держать всех в курсе по мере получения новых сведений об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности делиться знаниями и сотрудничать, чтобы получить более чёткую картину существующих угроз», — заявил Георгий Кучерин, эксперт по безопасности из Глобальной исследовательской и аналитической группы «Лаборатории Касперского».
Источник
Комментарий (0)