Carding 4 Carders
Professional
Имплантат TriangleDB, используемый для атаки на устройства Apple iOS, включает по меньшей мере четыре различных модуля для записи микрофона, извлечения цепочки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и оценки местоположения жертвы.
Выводы получены от Kaspersky, в которых подробно описывается, на что пошел противник, стоящий за кампанией, получившей название "Операция "Триангуляция"", чтобы скрыть и замести свои следы, тайно собирая конфиденциальную информацию со скомпрометированных устройств.
Изощренные атаки впервые появился на свет в июне 2023 года, когда выяснилось, что в iOS присутствует нулевой нажмите эксплуатировать боевую затем нулевого дня безопасности недостатки (уязвимости CVE-2023-32434 и CVE-2023-32435), который использует платформе iMessage, чтобы доставить вредоносное вложение, которое может получить полный контроль над устройством и пользовательских данных.
Масштаб и личность исполнителя угрозы в настоящее время неизвестны, хотя сам Kaspersky стал одной из целей в начале года, что побудило его исследовать различные компоненты того, что, по его словам, представляет собой полнофункциональную платформу advanced persistent threat (APT).
Ядро платформы атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают права root на целевом устройстве iOS, используя CVE-2023-32434, уязвимость ядра, которой можно воспользоваться для выполнения произвольного кода.
Теперь, по данным российской компании по кибербезопасности, развертыванию имплантата предшествуют два этапа проверки, а именно JavaScript Validator и Binary Validator, которые выполняются, чтобы определить, не связано ли целевое устройство с исследовательской средой.
"Эти валидаторы собирают различную информацию об устройстве-жертве и отправляют ее на сервер C2", - заявили исследователи Касперского Георгий Кучерин, Леонид Безвершенко и Валентин Пашков в техническом отчете, опубликованном в понедельник.
"Затем эта информация используется для оценки того, может ли iPhone или iPad, в которые будет имплантирован TriangleDB, быть исследовательским устройством. Выполняя такие проверки, злоумышленники могут убедиться, что их эксплойты нулевого дня и имплантат не будут сожжены."
В качестве предыстории: отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, которое запускает цепочку эксплойтов с нулевым кликом, предназначенных для скрытого открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку.
Полезной нагрузкой является JavaScript-валидатор, который, помимо выполнения различных арифметических операций и проверки наличия API-интерфейса Media Source и WebAssembly, выполняет метод снятия отпечатков пальцев с браузера, называемый canvas fingerprinting, рисуя желтый треугольник на розовом фоне с помощью WebGL и вычисляя его контрольную сумму.
Информация, собранная после этого шага, передается на удаленный сервер, чтобы получить взамен неизвестную вредоносную программу следующего этапа. Также после серии неопределенных шагов поставляется двоичный валидатор, двоичный файл Mach-O, который выполняет следующие операции -
Одним из самых первых шагов, предпринимаемых бэкдором, является установление связи с сервером C2 и отправка сердцебиения, после чего он получает команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы судебной экспертизы и затруднить анализ.
Также имплантату выдаются инструкции по периодической фильтрации файлов из каталога /private/var /tmp, которые содержат местоположение, связку ключей iCloud, данные, связанные с SQL, и записанные с микрофона.
Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включенном экране устройства, что указывает на намерение субъекта угрозы остаться незамеченным.
Более того, модуль мониторинга местоположения настроен на использование данных GSM, таких как код мобильной страны (MCC), код мобильной сети (MNC) и код региона определения местоположения (LAC), для триангуляции местоположения жертвы, когда данные GPS недоступны.
"Противник, стоящий за триангуляцией, очень старался избежать обнаружения", - говорят исследователи. "Злоумышленники также продемонстрировали отличное понимание внутренних функций iOS, поскольку в ходе атаки они использовали частные недокументированные API".
Выводы получены от Kaspersky, в которых подробно описывается, на что пошел противник, стоящий за кампанией, получившей название "Операция "Триангуляция"", чтобы скрыть и замести свои следы, тайно собирая конфиденциальную информацию со скомпрометированных устройств.
Изощренные атаки впервые появился на свет в июне 2023 года, когда выяснилось, что в iOS присутствует нулевой нажмите эксплуатировать боевую затем нулевого дня безопасности недостатки (уязвимости CVE-2023-32434 и CVE-2023-32435), который использует платформе iMessage, чтобы доставить вредоносное вложение, которое может получить полный контроль над устройством и пользовательских данных.
Масштаб и личность исполнителя угрозы в настоящее время неизвестны, хотя сам Kaspersky стал одной из целей в начале года, что побудило его исследовать различные компоненты того, что, по его словам, представляет собой полнофункциональную платформу advanced persistent threat (APT).
Ядро платформы атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают права root на целевом устройстве iOS, используя CVE-2023-32434, уязвимость ядра, которой можно воспользоваться для выполнения произвольного кода.
Теперь, по данным российской компании по кибербезопасности, развертыванию имплантата предшествуют два этапа проверки, а именно JavaScript Validator и Binary Validator, которые выполняются, чтобы определить, не связано ли целевое устройство с исследовательской средой.
"Эти валидаторы собирают различную информацию об устройстве-жертве и отправляют ее на сервер C2", - заявили исследователи Касперского Георгий Кучерин, Леонид Безвершенко и Валентин Пашков в техническом отчете, опубликованном в понедельник.
"Затем эта информация используется для оценки того, может ли iPhone или iPad, в которые будет имплантирован TriangleDB, быть исследовательским устройством. Выполняя такие проверки, злоумышленники могут убедиться, что их эксплойты нулевого дня и имплантат не будут сожжены."
В качестве предыстории: отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, которое запускает цепочку эксплойтов с нулевым кликом, предназначенных для скрытого открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку.
Полезной нагрузкой является JavaScript-валидатор, который, помимо выполнения различных арифметических операций и проверки наличия API-интерфейса Media Source и WebAssembly, выполняет метод снятия отпечатков пальцев с браузера, называемый canvas fingerprinting, рисуя желтый треугольник на розовом фоне с помощью WebGL и вычисляя его контрольную сумму.
Информация, собранная после этого шага, передается на удаленный сервер, чтобы получить взамен неизвестную вредоносную программу следующего этапа. Также после серии неопределенных шагов поставляется двоичный валидатор, двоичный файл Mach-O, который выполняет следующие операции -
- Удалите журналы сбоев из каталога /private/var/ mobile /Library/Logs/ CrashReporter, чтобы стереть следы возможного использования
- Удалите доказательства вредоносного вложения iMessage, отправленного с 36 различных адресов электронной почты Gmail, Outlook и Yahoo, контролируемых злоумышленниками
- Получите список процессов, запущенных на устройстве, и сетевых интерфейсов
- Проверьте, не взломано ли целевое устройство
- Включите персонализированное отслеживание рекламы
- Соберите информацию об устройстве (имя пользователя, номер телефона, IMEI и Apple ID) и
- Получить список установленных приложений
Одним из самых первых шагов, предпринимаемых бэкдором, является установление связи с сервером C2 и отправка сердцебиения, после чего он получает команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы судебной экспертизы и затруднить анализ.
Также имплантату выдаются инструкции по периодической фильтрации файлов из каталога /private/var /tmp, которые содержат местоположение, связку ключей iCloud, данные, связанные с SQL, и записанные с микрофона.
Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включенном экране устройства, что указывает на намерение субъекта угрозы остаться незамеченным.
Более того, модуль мониторинга местоположения настроен на использование данных GSM, таких как код мобильной страны (MCC), код мобильной сети (MNC) и код региона определения местоположения (LAC), для триангуляции местоположения жертвы, когда данные GPS недоступны.
"Противник, стоящий за триангуляцией, очень старался избежать обнаружения", - говорят исследователи. "Злоумышленники также продемонстрировали отличное понимание внутренних функций iOS, поскольку в ходе атаки они использовали частные недокументированные API".
