导 读
用于针对 Apple iOS 设备的 TriangleDB 植入程序包含至少四个不同的模块,用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。
调查结果来自卡巴斯基,该公司详细介绍了这场名为“三角测量行动(Operation Triangulation)”的活动背后的对手,在秘密从受感染设备中窃取敏感信息的同时,竭尽全力隐藏和掩盖其踪迹。
这种复杂的攻击于 2023 年 6 月首次曝光,当时 iOS 已成为利用 iMessage 平台的零点击漏洞武器化。所利用的0day漏洞包括(CVE-2023-32434 和 CVE-2023-32435),攻击者可以完全控制设备和用户数据。
卡巴斯基本身在今年年初成为攻击者的目标之一,促使其调查该攻击事件,攻击者的规模和身份目前尚不清楚。
该攻击框架的核心是一个名为TriangleDB 的后门,攻击者利用 CVE-2023-32434(一个可被滥用执行任意代码的内核漏洞)获得目标 iOS 设备的 root 权限后部署该后门。
根据卡巴斯基的说法,植入程序的部署之前有两个验证器阶段,即 JavaScript 验证器和二进制验证器,执行这些阶段以确定目标设备是否与研究环境无关。
卡巴斯基研究人员 Georgy Kucherin、Leonid Bezvershenko 和 Valentin Pashkov在周一发布的一份技术报告(https://securelist.com/triangulation-validators-modules/110847/)中表示:“这些验证器收集有关受害设备的各种信息,并将其发送到 C2 服务器。”
“然后,这些信息将用于评估要植入 TriangleDB 的 iPhone 或 iPad 是否可能是研究设备。通过执行此类检查,攻击者可以确保他们的0day漏洞和植入物不会被摧毁。”
攻击链的起点是受害者收到不可见的 iMessage 附件,该附件会触发零点击漏洞利用链,旨在秘密打开包含模糊 JavaScript 和加密负载的唯一 URL。
有效负载是 JavaScript 验证器,除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外,还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。
此步骤之后收集的信息将传输到远程服务器,以便接收未知的下一阶段恶意软件作为回报。在一系列未确定的步骤之后还交付了二进制验证器,这是一个执行以下操作的 Mach-O 二进制文件。
-
从/private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志,以清除可能被利用的痕迹
-
删除从 36 个不同的攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件的证据
-
获取设备和网络接口上运行的进程列表
-
检查目标设备是否越狱
-
开启个性化广告跟踪
-
收集有关设备的信息(用户名、电话号码、IMEI 和 Apple ID)
-
检索已安装应用程序的列表
研究人员表示:“这些操作的有趣之处在于,验证器同时针对 iOS 和 macOS 系统实现了它们。”他补充说,上述操作的结果会被加密并渗透到命令和控制 (C2) 服务器以获取TriangleDB 植入。
后门采取的最初步骤之一是与 C2 服务器建立通信并发送心跳,随后接收删除崩溃日志和数据库文件的命令,以掩盖取证线索并妨碍分析。
还向植入程序发出定期从 /private/var/tmp 目录中提取文件的指令,其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。
麦克风录音模块的一个显着特点是它能够在设备屏幕打开时暂停录音。位置监控模块经过精心设计,可使用 GSM 数据,例如移动国家代码 ( MCC )、移动网络代码 (MNC) 和位置区域代码 ( LAC ),在 GPS 数据不可用时对受害者的位置进行三角测量。
研究人员表示:“三角测量背后的对手非常小心地避免被发现。” “攻击者还表现出了对 iOS 内部结构的深入了解,因为他们在攻击过程中使用了未记录的私有 API。”
参考链接:https://thehackernews.com/2023/10/operation-triangulation-experts-uncover.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
随着攻击者更新植入程序,通过0Day漏洞攻击的思科设备数量仍然很高
https://www.securityweek.com/number-of-cisco-devices-hacked-via-zero-day-remains-high-as-attackers-update-implant/
乌克兰安全部门参与攻击俄罗斯最大的私人银行
https://therecord.media/sbu-involved-in-alfa-bank-hack
俄罗斯消息服务因 TLS 证书过期而遭到秘密窃听
https://therecord.media/jabber-ru-alleged-government-wiretap-expired-tls-certificate
卡巴斯基报告:黑客利用俄罗斯国家和工业组织后门窃取数据
https://www.bleepingcomputer.com/news/security/hackers-backdoor-russian-state-industrial-orgs-for-data-theft/
美国前国家安全局雇员承认向俄罗斯泄露机密数据
https://thehackernews.com/2023/10/ex-nsa-employee-pleads-guilty-to.html
被黑客入侵的思科设备上的后门植入经过修改以逃避检测
https://thehackernews.com/2023/10/backdoor-implant-on-hacked-cisco.html
DoNot Team 的新 Firebird 后门袭击巴基斯坦和阿富汗
https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html
一般威胁事件
General Threat Incidents
Zscaler ThreatLabz 发现物联网和 OT(运营技术)恶意软件攻击同比增加 400%
https://www.marketscreener.com/quote/stock/ZSCALER-INC-42379366/news/Zscaler-ThreatLabz-Finds-a-400-Increase-in-IoT-and-OT-Malware-Attacks-Year-over-Year-Underscoring-45131581/
API 安全公司 Salt Security 警告称,社交媒体账户登录机制漏洞导致数千个网站及其 10 亿用户容易受到帐户接管的威胁
https://cybernews.com/news/thousands-of-websites-vulnerable-to-account-takeover/
医疗保健勒索软件攻击造成 780 亿美元损失
https://www.infosecurity-magazine.com/news/healthcare-ransomware-attacks-cost/
密歇根大学称个人信息在 2023 年 8 月发现的数据泄露事件中被访问
https://www.securityweek.com/university-of-michigan-says-personal-information-stolen-in-august-data-breach/
新英格兰生物实验室泄露敏感数据
https://cybernews.com/security/new-england-biolabs-leak-sensitive-data/
纽约医疗网络在遭受严重网络攻击后恢复服务
https://therecord.media/new-york-medical-network-cyberattack-diversions
卡巴斯基检测到俄罗斯公共部门机构收到大量恶意邮件
https://tass.ru/ekonomika/19097479
网络犯罪分子正在利用以色列与哈马斯的冲突来诈骗人道主义捐款
https://www.cajnewsafrica.com/2023/10/24/scammers-exploit-hamas-israel-war/
生成式人工智能可以节省网络钓鱼者两天的工作时间
https://www.infosecurity-magazine.com/news/genai-can-save-phishers-two-days/
34 名网络犯罪分子因价值数百万美元的网络诈骗在西班牙被捕
https://thehackernews.com/2023/10/34-cybercriminals-arrested-in-spain-for.html
新的 Grandoreiro 信息窃取恶意软件变种瞄准西班牙的银行客户
https://www.infosecurity-magazine.com/news/grandoreiro-targets-spain/
漏洞事件
Vulnerability Incidents
思科修补了用于攻击 50,000 多台设备的 IOS XE 0day漏洞(CVE-2023-20198 和 CVE-2023-20273)
https://www.bleepingcomputer.com/news/security/cisco-patches-ios-xe-zero-days-used-to-hack-over-50-000-devices/
VMware 警告管理员注意 vRealize RCE 漏洞(CVE-2023-34051)的公开利用
https://www.bleepingcomputer.com/news/security/vmware-warns-admins-of-public-exploit-for-vrealize-rce-flaw/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):卡巴斯基专家披露针对苹果设备零点击攻击的三角测量行动(Operation Triangulation)的深入分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论