Apple iOS cihazlarını hedeflemek için kullanılan TriangleDB implantı, mikrofonu kaydetmek, iCloud Anahtar Zincirini çıkarmak, çeşitli uygulamalar tarafından kullanılan SQLite veritabanlarından veri çalmak ve kurbanın konumunu tahmin etmek için en az dört farklı modülden oluşuyor.
Bulgular, kampanyanın arkasındaki rakibin büyük çabalarını ayrıntılarıyla anlatan Kaspersky’den geliyor. Nirengi Operasyonuele geçirilen cihazlardan hassas bilgileri gizlice alırken izlerini gizlemeye ve örtbas etmeye gitti.
Bu karmaşık saldırı ilk olarak Haziran 2023’te, iOS’un, iMessage platformunu kullanan sıfır gün güvenlik kusurlarını (CVE-2023-32434 ve CVE-2023-32435) silah haline getiren sıfır tıklama istismarı tarafından hedef alındığının ortaya çıkmasıyla ortaya çıktı. Cihaz ve kullanıcı verileri üzerinde tam kontrol sağlayabilecek kötü amaçlı bir ek sunmak.
Tehdit aktörünün boyutu ve kimliği şu anda bilinmiyor; ancak Kaspersky’nin kendisi yılın başında hedeflerden biri haline geldi ve bu da onu tam özellikli gelişmiş kalıcı tehdit (APT) kapsamında söylediklerinin çeşitli bileşenlerini araştırmaya sevk etti. platformu.
Saldırı çerçevesinin çekirdeğini, saldırganların keyfi kod yürütmek için kötüye kullanılabilecek bir çekirdek güvenlik açığı olan CVE-2023-32434’ü kullanarak hedef iOS cihazında kök ayrıcalıkları elde ettikten sonra dağıtılan TriangleDB adı verilen bir arka kapı oluşturur.
Artık Rus siber güvenlik şirketine göre, implantın konuşlandırılmasından önce, hedef cihazın bir araştırma ortamıyla ilişkili olup olmadığını belirlemek için yürütülen iki doğrulama aşaması (JavaScript Doğrulayıcı ve İkili Doğrulayıcı) bulunuyor.
Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Valentin Pashkov Pazartesi günü yayınlanan teknik bir raporda, “Bu doğrulayıcılar kurbanın cihazı hakkında çeşitli bilgiler topluyor ve bunları C2 sunucusuna gönderiyor.” dedi.
“Bu bilgi daha sonra TriangleDB implante edilecek iPhone veya iPad’in bir araştırma cihazı olup olmadığını değerlendirmek için kullanılıyor. Saldırganlar bu tür kontroller yaparak sıfır gün açıklarından yararlanmalarının ve implantın yanmayacağından emin olabilirler.”
Arka plan açısından: Saldırı zincirinin başlangıç noktası, kurbanın aldığı görünmez bir iMessage eklentisidir; bu eklenti, şifrelenmiş bir yükün yanı sıra gizlenmiş JavaScript içeren benzersiz bir URL’yi gizlice açmak için tasarlanmış sıfır tıklamayla bir istismar zincirini tetikler.
Yük, çeşitli aritmetik işlemleri yürütmenin ve Media Source API ve WebAssembly’nin varlığını kontrol etmenin yanı sıra, WebGL ile pembe bir arka plan üzerine sarı bir üçgen çizerek ve sağlama toplamını hesaplayarak tuval parmak izi adı verilen bir tarayıcı parmak izi alma tekniğini gerçekleştiren JavaScript doğrulayıcıdır.
Bu adımın ardından toplanan bilgiler, karşılığında bilinmeyen bir sonraki aşama kötü amaçlı yazılımın alınması için uzak bir sunucuya iletilir. Ayrıca bir dizi belirlenmemiş adımdan sonra, aşağıdaki işlemleri gerçekleştiren bir Mach-O ikili dosyası olan İkili Doğrulayıcı da teslim edilir:
- Olası istismar izlerini silmek için /private/var/mobile/Library/Logs/CrashReporter dizininden kilitlenme günlüklerini kaldırın
- Saldırganların kontrolündeki 36 farklı Gmail, Outlook ve Yahoo e-posta adresinden gönderilen kötü amaçlı iMessage ekinin kanıtlarını silin
- Cihazda ve ağ arayüzlerinde çalışan işlemlerin bir listesini edinin
- Hedef cihazın jailbreakli olup olmadığını kontrol edin
- Kişiselleştirilmiş reklam izlemeyi açın
- Cihaz hakkında bilgi toplayın (kullanıcı adı, telefon numarası, IMEI ve Apple Kimliği) ve
- Yüklü uygulamaların listesini alın
Araştırmacılar, “Bu eylemlerle ilgili ilginç olan şey, doğrulayıcının bunları hem iOS hem de macOS sistemleri için uygulamasıdır” dedi ve yukarıda belirtilen eylemlerin sonuçlarının şifrelendiğini ve bir komut ve kontrol (C2) sunucusuna aktarıldığını ekledi. TriangleDB implantı.
Arka kapının attığı ilk adımlardan biri, C2 sunucusuyla iletişim kurmak ve bir kalp atışı göndermek, ardından adli tıp izini gizlemek ve analizi engellemek için kilitlenme günlüğünü ve veritabanı dosyalarını silen komutları almaktır.
Ayrıca implanta, konum, iCloud Anahtar Zinciri, SQL ile ilgili ve mikrofonla kaydedilen verileri içeren dosyaları /private/var/tmp dizininden periyodik olarak çıkarmak için talimatlar da verilir.
Mikrofon kayıt modülünün dikkate değer bir özelliği, cihaz ekranı açıldığında kaydı askıya alabilmesidir; bu, tehdit aktörünün radarın altından uçma niyetini gösterir.
Dahası, konum izleme modülü, GPS verileri mevcut olmadığında kurbanın konumunu üçgenlemek için mobil ülke kodu (MCC), mobil ağ kodu (MNC) ve konum alan kodu (LAC) gibi GSM verilerini kullanacak şekilde düzenlenmiştir. .
Araştırmacılar, “Üçgenleştirmenin arkasındaki düşman, tespit edilmekten kaçınmak için büyük özen gösterdi” dedi. “Saldırganlar ayrıca, saldırı sırasında özel, belgelenmemiş API’ler kullandıklarından iOS’un dahili bileşenlerini de çok iyi anladıklarını gösterdiler.”