SGPO
Suite aux informations faisant état de la campagne Operation Triangulation ciblant les appareils iOS, les experts de Kaspersky mettent en lumière les détails du logiciel espion utilisé dans l'attaque.
 |
| Le malware TriangleDB a touché les appareils iOS |
Kaspersky a récemment signalé une nouvelle campagne APT (Advanced Persistent Threat) mobile ciblant les appareils iOS via iMessage. Après une enquête de six mois, les chercheurs de Kaspersky ont publié une analyse approfondie de la chaîne d'exploitation et des conclusions détaillées sur l'infection par le logiciel espion.
Le logiciel, appelé TriangleDB, est déployé en exploitant une vulnérabilité pour obtenir un accès root sur les appareils iOS. Une fois lancé, il ne fonctionne que dans la mémoire de l'appareil, de sorte que les traces d'infection disparaissent au redémarrage de l'appareil. Ainsi, si la victime redémarre l’appareil, l’attaquant doit réinfecter l’appareil en envoyant un autre iMessage avec une pièce jointe malveillante, recommençant ainsi tout le processus d’exploitation.
Si l'appareil ne redémarre pas, le logiciel se désinstallera automatiquement après 30 jours, à moins que les attaquants ne prolongent cette période. Agissant comme un logiciel espion sophistiqué, TriangleDB effectue une variété de capacités de collecte et de surveillance de données.
Le logiciel comprend 24 commandes avec des fonctions diverses. Ces commandes servent à diverses fins, telles que l'interaction avec le système de fichiers de l'appareil (y compris la création, la modification, l'extraction et la suppression de fichiers), la gestion des processus (liste et terminaison), l'extraction de chaînes pour collecter les informations d'identification de la victime et la surveillance de l'emplacement géographique de la victime.
Lors de l'analyse de TriangleDB, les experts de Kaspersky ont découvert que la classe CRConfig contient une méthode inutilisée appelée populatedWithFieldsMacOSOnly. Bien qu'il ne soit pas utilisé dans les infections iOS, sa présence suggère la capacité de cibler les appareils macOS.
Kaspersky recommande aux utilisateurs de prendre les mesures suivantes pour éviter d'être victime d'une attaque ciblée : Pour la protection au niveau des terminaux, l'investigation et la réponse rapide, utilisez une solution de sécurité d'entreprise fiable, telle que Kaspersky Unified Monitoring and Analysis Platform (KUMA) ; Mettez à jour votre système d’exploitation Microsoft Windows et vos logiciels tiers dès que possible et faites-le régulièrement ; Donnez accès aux dernières informations sur les menaces (TI) aux équipes SOC. Kaspersky Threat Intelligence est la source unique d'accès à TI de l'entreprise, fournissant 20 ans de données et d'informations sur les cyberattaques de Kaspersky ; Équipez votre équipe de cybersécurité pour faire face aux dernières menaces ciblées avec le cours de formation en ligne de Kaspersky, développé par des experts de GreAT ; Étant donné que de nombreuses attaques ciblées commencent par des tactiques de phishing ou d’ingénierie sociale, proposez aux employés de votre entreprise une formation de sensibilisation à la sécurité et une formation aux compétences, comme Kaspersky Automated Security Awareness Platform…
« Lorsque nous avons approfondi l’attaque, nous avons découvert que cette infection iOS sophistiquée présentait plusieurs caractéristiques étranges », a déclaré Georgy Kucherin, expert en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky. Nous continuons d'analyser la campagne et nous tiendrons tout le monde au courant avec de plus amples informations sur cette attaque sophistiquée. Nous appelons la communauté de la cybersécurité à se rassembler pour partager ses connaissances et collaborer afin d’obtenir une image plus claire des menaces existantes. »
Source
Comment (0)