СГГПО
После сообщений о кампании Operation Triangulation, нацеленной на устройства iOS, эксперты «Лаборатории Касперского» пролили свет на детали шпионского ПО, использованного при атаке.
Вредоносное ПО TriangleDB поразило устройства iOS |
Недавно компания «Лаборатория Касперского» сообщила о новой мобильной APT-кампании (Advanced Persistent Threat), нацеленной на устройства iOS через iMessage. После шестимесячного расследования специалисты «Лаборатории Касперского» опубликовали подробный анализ цепочки эксплойтов и подробные выводы о заражении шпионским ПО.
Программное обеспечение под названием TriangleDB внедряется путем эксплуатации уязвимости для получения root-доступа на устройствах iOS. После запуска он действует только в памяти устройства, поэтому следы заражения исчезают при перезагрузке устройства. Таким образом, если жертва перезагрузит устройство, злоумышленнику необходимо повторно заразить устройство, отправив еще одно сообщение iMessage с вредоносным вложением, и начать весь процесс эксплуатации заново.
Если устройство не перезагрузится, программное обеспечение автоматически удалит его через 30 дней, если только злоумышленники не продлят этот период. TriangleDB выполняет функции сложного шпионского ПО и выполняет разнообразные функции сбора и мониторинга данных.
Программное обеспечение включает 24 команды с разнообразными функциями. Эти команды служат различным целям, таким как взаимодействие с файловой системой устройства (включая создание, изменение, извлечение и удаление файлов), управление процессами (вывод списка и завершение), извлечение строк для сбора данных для входа в систему жертвы и мониторинг геолокации жертвы.
При анализе TriangleDB специалисты «Лаборатории Касперского» обнаружили, что класс CRConfig содержит неиспользуемый метод populatedWithFieldsMacOSOnly. Хотя он и не используется при заражении iOS, его наличие предполагает возможность заражения устройств на базе macOS.
«Лаборатория Касперского» рекомендует пользователям принять следующие меры, чтобы не стать жертвой целенаправленной атаки: Для защиты на уровне конечных точек, расследования и своевременного реагирования используйте надежное решение безопасности. Решения корпоративного уровня, такие как Kaspersky Unified Monitoring and Analysis Platform (KUMA) ); Обновляйте операционную систему Microsoft Windows и стороннее программное обеспечение как можно скорее и делайте это регулярно; Предоставьте группам SOC доступ к последним данным об угрозах (TI). Kaspersky Threat Intelligence — единственный источник доступа компании к TI, предоставляющий данные о кибератаках и аналитику от Kaspersky за 20 лет; Вооружите свою команду по кибербезопасности для борьбы с новейшими целевыми угрозами с помощью онлайн-курса обучения «Лаборатории Касперского», разработанного экспертами GreAT; Поскольку многие целевые атаки начинаются с фишинга или тактики социальной инженерии, организуйте обучение по вопросам безопасности и обучайте сотрудников компании основным навыкам, например, с помощью автоматизированной платформы повышения осведомленности о безопасности Kaspersky…
«Когда мы глубже изучили атаку, мы обнаружили, что эта сложная инфекция iOS имела несколько странных особенностей», — сказал Георгий Кучерин, эксперт по безопасности из Глобальной группы исследований и анализа «Лаборатории Касперского». Мы продолжаем анализировать кампанию и предоставим всем дополнительную информацию об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности объединиться для обмена знаниями и сотрудничества, чтобы получить более ясную картину существующих угроз».
Источник
Comment (0)