Cuộc tấn công Zero-Day trên iOS
Bộ cấy TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple iOS chứa ít nhất bốn mô-đun khác nhau để ghi âm micrô, trích xuất Chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.
Những phát hiện mới đến từ Kaspersky, trong đó trình bày chi tiết về khoảng thời gian dài mà đối thủ đằng sau chiến dịch có tên Operation Triangulation đã che giấu và che giấu dấu vết của mình trong khi bí mật thu thập thông tin nhạy cảm từ các thiết bị bị xâm nhập.
Cuộc tấn công phức tạp lần đầu tiên được đưa ra ánh sáng vào tháng 6 năm 2023, khi có thông tin cho rằng các thiết bị iOS đã trở thành mục tiêu của một cuộc khai thác không cần nhấp chuột, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng iMessage. nền tảng để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.
Quy mô và danh tính của tác nhân đe dọa hiện vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu vào đầu năm, khiến công ty này phải điều tra các thành phần khác nhau của thứ mà họ cho là mối đe dọa liên tục nâng cao (APT) có đầy đủ tính năng. nền tảng.
Cốt lõi của khung tấn công cấu thành một cửa sau có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác CVE-2023-32434, một lỗ hổng kernel có thể bị lạm dụng để thực thi mã tùy ý.
Hiện tại, theo công ty an ninh mạng Nga, việc triển khai bộ cấy được bắt đầu bằng hai giai đoạn xác thực, đó là Trình xác thực JavaScript và Trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.
“Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ C2”, các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố hôm thứ Hai.
"Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được cấy TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và bộ cấy của chúng không bị đốt cháy."
Về lý lịch: Điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một tải trọng được mã hóa.
Trình xác thực JavaScript, bên cạnh việc thực hiện nhiều phép toán số học khác nhau và kiểm tra sự hiện diện của API nguồn phương tiện và WebAssembly, còn thực hiện kỹ thuật lấy dấu vân tay của trình duyệt được gọi là lấy dấu vân tay canvas bằng cách vẽ hình tam giác màu vàng trên nền màu hồng bằng WebGL và tính toán tổng kiểm tra của nó.
Thông tin được thu thập theo bước này sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Cũng được phân phối sau khi khai thác thành công WebKit và khai thác kernel là Trình xác thực nhị phân, tệp nhị phân Mach-O thực hiện các hoạt động bên dưới -
- Xóa nhật ký sự cố khỏi thư mục /private/var/mobile/Library/Logs/CrashReporter để xóa dấu vết khai thác có thể xảy ra
- Xóa bằng chứng về tệp đính kèm iMessage độc hại được gửi từ 36 địa chỉ email Gmail, Outlook và Yahoo khác nhau do kẻ tấn công kiểm soát
- Lấy danh sách các tiến trình đang chạy trên thiết bị và giao diện mạng
- Kiểm tra xem thiết bị mục tiêu đã được jailbreak chưa
- Bật theo dõi quảng cáo được cá nhân hóa
- Thu thập thông tin về thiết bị (tên người dùng, số điện thoại, IMEI và ID Apple) và
- Truy xuất danh sách các ứng dụng đã cài đặt
Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và macOS”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ ra lệnh và kiểm soát (C2) để tìm nạp Bộ cấy TriangleDB.
Một trong những bước đầu tiên mà cửa sau thực hiện là thiết lập liên lạc với máy chủ C2 và gửi nhịp tim, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu dấu vết pháp y và cản trở quá trình phân tích.
Bộ cấy cũng được cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp chứa vị trí, Chuỗi khóa iCloud, dữ liệu liên quan đến SQL và dữ liệu được ghi bằng micrô.
Một tính năng đáng chú ý của mô-đun ghi âm micrô là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%, cho thấy ý định của kẻ đe dọa đang bay trong tầm radar.
Hơn nữa, mô-đun giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động (MCC), mã mạng di động (MNC) và mã vùng vị trí (LAC), để sắp xếp tam giác vị trí của nạn nhân khi không có dữ liệu GPS. .
Các nhà nghiên cứu cho biết: “Kẻ thù đằng sau Tam giác đã hết sức cẩn thận để tránh bị phát hiện”. “Những kẻ tấn công cũng thể hiện sự hiểu biết sâu sắc về nội bộ iOS, vì chúng đã sử dụng các API riêng tư không có giấy tờ trong quá trình tấn công.”
Vào ngày 25 tháng 10 năm 2023, Apple đã mở rộng các bản vá cho lỗ hổng bảo mật kernel cho các thiết bị cũ hơn như một phần của bản cập nhật iOS 15.8 và iPadOS 15.8, lưu ý rằng vấn đề này có thể đã bị khai thác tích cực trên các phiên bản iOS được phát hành trước iOS 15.7.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...