En tidligere udokumenteret hardwarefunktion i Apples iPhone System on a Chip (SoC) muliggør udnyttelse af flere sårbarheder, hvilket til sidst lader angribere omgå hardwarebaseret hukommelsesbeskyttelse.
Sårbarheden spiller en central rolle i den sofistikerede avancerede vedvarende trussel (APT) "Operation Triangulation" nul-klik-kampagne, ifølge en indberette fra Kasperskys Global Research and Analysis Team (GReAT).
Operation Triangulation iOS cyberspionage spionkampagne har eksisteret siden 2019 og har brugt flere sårbarheder som nul-dage til at omgå sikkerhedsforanstaltninger i iPhones, hvilket udgør en vedvarende risiko for brugernes privatliv og sikkerhed. Målene har inkluderet russiske diplomater og andre embedsmænd der, såvel som private virksomheder som Kaspersky selv.
I juni udgav Kaspersky en indberette tilbyder yderligere detaljer om TriangleDB-spywareimplantatet, der blev brugt i kampagnen, og fremhæver adskillige unikke muligheder, for eksempel deaktiverede funktioner, der kunne implementeres i fremtiden.
I denne uge præsenterede holdet deres seneste resultater på den 37. Chaos Communication Congress i Hamborg, Tyskland, og kaldte det "den mest sofistikerede angrebskæde", de endnu havde set blive brugt i operationen.
Nul-klik-angrebet er rettet mod iPhones iMessage-app, rettet mod iOS-versioner op til iOS 16.2. Da den først blev set, udnyttede den fire nul-dage med indviklet strukturerede angrebslag.
Inde i 'Operation Triangulation' Zero-Click Mobile Attack
Angrebet begynder uskyldigt, da ondsindede aktører sender en iMessage-vedhæftet fil og udnytter sårbarheden ved fjernudførelse af kode (RCE). CVE-2023-41990.
Denne udnyttelse retter sig mod den udokumenterede ADJUST TrueType-skrifttypeinstruktion, som er eksklusiv for Apple, og som eksisterede siden begyndelsen af halvfemserne før en efterfølgende patch.
Angrebssekvensen dykker derefter dybere og udnytter return/jump-orienteret programmering og NSExpression/NSPredicate-forespørgselssprogstadier for at manipulere JavaScriptCore-biblioteket.
Angriberne har indlejret en privilegeret eskaleringsudnyttelse i JavaScript, omhyggeligt sløret for at skjule dets indhold, som spænder over cirka 11,000 linjer kode.
Denne indviklede JavaScript-udnyttelse manøvrerer gennem JavaScriptCores hukommelse og udfører native API-funktioner ved at udnytte JavaScriptCore-fejlretningsfunktionen DollarVM ($vm).
Udnyttelse af en heltalsoverløbssårbarhed sporet som CVE-2023-32434 inden for XNUs hukommelseskortlægningssyscalls, får angriberne derefter hidtil uset læse/skriveadgang til enhedens fysiske hukommelse på brugerniveau.
Desuden omgår de dygtigt Page Protection Layer (PPL) ved hjælp af hardware memory-mapped I/O (MMIO) registre, en problematisk sårbarhed udnyttet som en nul-dag af Operation Triangulation-gruppen men til sidst adresseret som CVE-2023-38606 af Apple.
Efter at have trængt ind i enhedens forsvar udøver angriberne selektiv kontrol ved at indlede IMAgent-processen og injicere en nyttelast for at rydde eventuelle udnyttelsesspor.
Efterfølgende starter de en usynlig Safari-proces, der omdirigeres til en webside, der rummer det næste trin af udnyttelsen.
Websiden udfører offerverifikation og udløser efter vellykket godkendelse en Safari-udnyttelse ved hjælp af CVE-2023-32435 at udføre en shellcode.
Denne shellcode aktiverer endnu en kerneudnyttelse i form af en Mach-objektfil, der udnytter to af de samme CVE'er, der blev brugt i tidligere faser (CVE-2023-32434 og CVE-2023-38606).
Når først angriberne har opnået root-privilegier, orkestrerer de yderligere stadier og installerer til sidst spyware.
En voksende sofistikering i iPhone cyberangreb
Rapporten bemærkede, at det indviklede angreb i flere trin præsenterer et hidtil uset niveau af sofistikering, udnytter forskellige sårbarheder på tværs af iOS-enheder og vækker bekymring over det udviklende landskab af cybertrusler.
Boris Larin, hovedsikkerhedsforsker Kaspersky, forklarer, at den nye hardwaresårbarhed muligvis er baseret på princippet om "sikkerhed gennem obscurity", og kan have været beregnet til test eller fejlretning.
"Efter det indledende nul-klik iMessage-angreb og efterfølgende privilegie-eskalering, udnyttede angriberne funktionen til at omgå hardwarebaserede sikkerhedsbeskyttelser og manipulere indholdet af beskyttede hukommelsesområder," siger han. "Dette trin var afgørende for at opnå fuld kontrol over enheden."
Han tilføjer, at så vidt Kaspersky-teamet er klar over, var denne funktion ikke blevet offentligt dokumenteret, og den bruges ikke af firmwaren, hvilket udgør en betydelig udfordring i dets opdagelse og analyse ved hjælp af konventionelle sikkerhedsmetoder.
"Hvis vi taler om iOS-enheder, på grund af den lukkede natur af disse systemer, er det virkelig svært at opdage sådanne angreb," siger Larin. "De eneste detektionsmetoder, der er tilgængelige for disse, er at udføre en netværkstrafikanalyse og retsmedicinsk analyse af enhedssikkerhedskopier lavet med iTunes."
Han forklarer, at i modsætning hertil er desktop- og bærbare macOS-systemer mere åbne, og derfor er mere effektive detektionsmetoder tilgængelige for disse.
"På disse enheder er det muligt at installere endepunktsdetektion og -respons (EDR) løsninger, der kan hjælpe med at opdage sådanne angreb,” bemærker Larin.
Han anbefaler, at sikkerhedsteams opdaterer deres operativsystem, applikationer og antivirussoftware regelmæssigt; patch alle kendte sårbarheder; og give deres SOC-hold adgang til den seneste trusselsintelligens.
"Implementer EDR-løsninger til detektering, undersøgelse og rettidig afhjælpning af hændelser på endepunktsniveau, genstart dagligt for at forstyrre vedvarende infektioner, deaktiver iMessage og Facetime for at reducere risici med nul-klik udnyttelse, og installer straks iOS-opdateringer for at beskytte mod kendte sårbarheder," Larin tilføjer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
- :har
- :er
- :ikke
- $OP
- 000
- 11
- 16
- 2019
- a
- Om
- adgang
- Ifølge
- tværs
- aktører
- Yderligere
- rettet
- Tilføjer
- justere
- fremskreden
- avanceret vedvarende trussel
- mod
- Rettet
- tillader
- an
- analyse
- ,
- En anden
- antivirus
- Antivirus-software
- enhver
- api
- app
- Apple
- applikationer
- cirka
- APT
- ER
- AS
- overfald
- At
- angribe
- Angreb
- Godkendelse
- til rådighed
- opmærksom på
- sikkerhedskopier
- baseret
- BE
- været
- før
- være
- men
- by
- bypass
- ringer
- Kampagne
- CAN
- kapaciteter
- omhyggeligt
- central
- kæde
- udfordre
- Chaos
- chip
- klar
- lukket
- kode
- Kommunikation
- vedrørende
- Bekymringer
- Kongressen
- indhold
- indhold
- kontrast
- kontrol
- konventionelle
- kunne
- afgørende
- Cyber
- Cyberspionage
- dagligt
- dybere
- indsat
- desktop
- detaljer
- opdage
- Detektion
- enhed
- Enheder
- diplomater
- rettet
- deaktiveret
- Afbryde
- dokumenteret
- grund
- Tidligt
- Effektiv
- opløftende
- indlejret
- virksomheder
- optrapning
- Ether (ETH)
- til sidst
- udviklende
- eksempel
- Eksklusiv
- udføre
- Udfører
- udførelse
- Dyrke motion
- eksisterende
- Forklarer
- Exploit
- udnyttelse
- FaceTime
- langt
- Feature
- Funktionalitet
- File (Felt)
- fund
- Fornavn
- efter
- Til
- Forensic
- formular
- fire
- fra
- fuld
- funktioner
- fremtiden
- Gevinst
- Tyskland
- Global
- stor
- Dyrkning
- Guard
- havde
- hamburg
- Hård Ost
- Hardware
- Have
- he
- hjælpe
- fremhæve
- boliger
- HTTPS
- if
- gennemføre
- in
- hændelser
- medtaget
- Infektioner
- initial
- indlede
- initiere
- installere
- installation
- Intelligens
- beregnet
- indviklet
- undersøgelse
- usynlige
- iOS
- iPhone
- IT
- ITS
- selv
- iTunes
- JavaScript
- jpg
- juni
- Kaspersky
- kendt
- landskab
- Sprog
- laptop
- seneste
- lag
- lag
- udlejning
- Niveau
- gearede
- løftestang
- Bibliotek
- linjer
- MacOS
- lavet
- ondsindet
- kortlægning
- Kan..
- foranstaltninger
- Hukommelse
- metoder
- Mobil
- mere
- mest
- flere
- indfødte
- Natur
- netværk
- netværkstrafik
- Ny
- ny hardware
- næste
- NIST
- bemærkede
- Noter
- talrige
- objekt
- opnå
- of
- tilbyde
- embedsmænd
- on
- kun
- åbent
- drift
- operativsystem
- drift
- or
- Andet
- i løbet af
- side
- patch
- udføre
- udfører
- fysisk
- plato
- Platon Data Intelligence
- PlatoData
- spiller
- mulig
- eventuelt
- forelagt
- gaver
- tidligere
- Main
- princippet
- Forud
- Beskyttelse af personlige oplysninger
- Privatliv og sikkerhed
- private
- privilegium
- privilegeret
- privilegier
- behandle
- Programmering
- beskyttet
- beskyttelse
- give
- offentligt
- virkelig
- nylige
- anbefaler
- reducere
- regioner
- registre
- regelmæssigt
- frigivet
- fjern
- indberette
- forskning
- forsker
- svar
- Risiko
- risici
- roller
- rod
- Russisk
- s
- Safari
- samme
- siger
- sikkerhed
- Sikkerhedsforanstaltninger
- set
- selektiv
- send
- Sequence
- signifikant
- siden
- So
- Software
- Løsninger
- sofistikeret
- raffinement
- spændvidder
- spyware
- Stage
- etaper
- Trin
- struktureret
- efterfølgende
- vellykket
- sådan
- systemet
- Systemer
- taler
- mål
- hold
- hold
- Test
- at
- Fremtiden
- deres
- derefter
- Der.
- Disse
- de
- denne
- trussel
- trussel intelligens
- trusler
- Gennem
- rettidig
- til
- Trafik
- to
- enestående
- uden fortilfælde
- Opdatering
- opdateringer
- på
- anvendte
- Bruger
- brugere
- ved brug af
- udnyttet
- Verifikation
- Victim
- Sårbarheder
- sårbarhed
- var
- we
- web
- uge
- GODT
- hvornår
- som
- med
- inden for
- endnu
- zephyrnet
