SGGPO
Nach Berichten über die Kampagne „Operation Triangulation“, die auf iOS-Geräte abzielte, haben die Experten von Kaspersky die Details der bei dem Angriff verwendeten Spyware enthüllt.
 |
| TriangleDB-Malware hat iOS-Geräte befallen |
Kaspersky hat kürzlich über eine neue mobile APT-Kampagne (Advanced Persistent Threat) berichtet, die es über iMessage auf iOS-Geräte abgesehen hat. Nach einer sechsmonatigen Untersuchung haben Forscher von Kaspersky eine eingehende Analyse der Exploit-Kette und detaillierte Erkenntnisse zur Spyware-Infektion veröffentlicht.
Die Software mit dem Namen TriangleDB wird bereitgestellt, indem eine Sicherheitslücke ausgenutzt wird, um Root-Zugriff auf iOS-Geräte zu erhalten. Nach dem Start arbeitet es nur im Speicher des Geräts, sodass Spuren der Infektion beim Neustart des Geräts verschwinden. Wenn das Opfer das Gerät also neu startet, muss der Angreifer das Gerät erneut infizieren, indem er eine weitere iMessage mit einem bösartigen Anhang sendet, wodurch der gesamte Ausnutzungsprozess erneut beginnt.
Wenn das Gerät nicht neu gestartet wird, wird die Software nach 30 Tagen automatisch deinstalliert, sofern die Angreifer diese Frist nicht verlängern. TriangleDB fungiert als hochentwickelte Spyware und bietet zahlreiche Funktionen zur Datenerfassung und -überwachung.
Die Software umfasst 24 Befehle mit unterschiedlichen Funktionen. Diese Befehle dienen verschiedenen Zwecken, beispielsweise der Interaktion mit dem Dateisystem des Geräts (einschließlich Erstellen, Ändern, Extrahieren und Löschen von Dateien), der Verwaltung von Prozessen (Auflisten und Beenden), dem Extrahieren von Zeichenfolgen zum Sammeln der Anmeldeinformationen des Opfers und der Überwachung des geografischen Standorts des Opfers.
Bei der Analyse von TriangleDB entdeckten die Experten von Kaspersky, dass die Klasse CRConfig eine ungenutzte Methode namens „populatedWithFieldsMacOSOnly“ enthält. Obwohl es bei iOS-Infektionen nicht zum Einsatz kommt, lässt seine Präsenz darauf schließen, dass es auf macOS-Geräte abgesehen ist.
Kaspersky empfiehlt Benutzern, die folgenden Maßnahmen zu ergreifen, um nicht Opfer eines gezielten Angriffs zu werden: Verwenden Sie für Schutz auf Endpunktebene, Untersuchung und zeitnahe Reaktion eine vertrauenswürdige Sicherheitslösung. Lösungen auf Unternehmensebene wie Kaspersky Unified Monitoring and Analysis Platform (KUMA ); Aktualisieren Sie Ihr Microsoft Windows-Betriebssystem und Software von Drittanbietern so schnell wie möglich und tun Sie dies regelmäßig. Gewähren Sie SOC-Teams Zugriff auf die neuesten Threat Intelligence (TI). Kaspersky Threat Intelligence ist die einzige Zugriffsquelle des Unternehmens auf TI und bietet 20 Jahre Cyberangriffsdaten und Erkenntnisse von Kaspersky. Rüsten Sie Ihr Cybersicherheitsteam für die Bewältigung der neuesten gezielten Bedrohungen mit dem Online-Schulungskurs von Kaspersky, der von Experten bei GreAT entwickelt wurde. Da viele gezielte Angriffe mit Phishing- oder Social-Engineering-Taktiken beginnen, sollten Sie Schulungen zur Sensibilisierung für Sicherheit anbieten und den Mitarbeitern Ihres Unternehmens wichtige Fähigkeiten vermitteln, beispielsweise mithilfe der Kaspersky Automated Security Awareness Platform …
„Als wir den Angriff genauer untersuchten, stellten wir fest, dass diese ausgeklügelte iOS-Infektion mehrere merkwürdige Merkmale aufwies“, sagte Georgy Kucherin, Sicherheitsexperte beim Global Research and Analysis Team von Kaspersky. Wir analysieren die Kampagne weiterhin und werden alle mit weiteren Informationen zu diesem ausgeklügelten Angriff auf dem Laufenden halten. Wir rufen die Cybersicherheits-Community dazu auf, zusammenzukommen, Wissen auszutauschen und zusammenzuarbeiten, um ein klareres Bild der Bedrohungen da draußen zu erhalten.“
[Anzeige_2]
Quelle
Kommentar (0)