„Operation Triangulation” Nuhkvararündajad mööduvad iPhone'i mälukaitsetest

„Operation Triangulation” Nuhkvararündajad mööduvad iPhone'i mälukaitsetest

Ajatempel: 29. detsember 2023 kell 11:17
Allikasõlm: 3040038

Varem dokumenteerimata riistvarafunktsioon Apple'i iPhone'i süsteemis kiibis (SoC) võimaldab ära kasutada mitmeid turvaauke, võimaldades lõpuks ründajatel riistvarapõhisest mälukaitsest mööda minna.

Haavatavus mängib keskset rolli keerukas arenenud püsiva ohu (APT) "Operation Triangulation" nullklõpsu kampaanias. aru Kaspersky globaalsest uurimis- ja analüüsimeeskonnast (GReAT).

. Operation Triangulation iOS küberspionaaži spioonikampaania on eksisteerinud alates 2019. aastast ja on kasutanud iPhone'i turvameetmetest möödahiilimiseks nullpäevadena mitut turvaauku, mis kujutab endast püsivat ohtu kasutajate privaatsusele ja turvalisusele. Sihtmärkideks on olnud Vene diplomaadid ja teised sealsed ametnikud, aga ka eraettevõtted nagu Kaspersky ise.

Juunis andis Kaspersky välja a aru pakkudes täiendavaid üksikasju kampaanias kasutatud TriangleDB nuhkvaraimplantaadi kohta, tuues esile arvukalt unikaalseid võimalusi, näiteks puudega funktsioone, mida saaks tulevikus kasutusele võtta.

Sel nädalal esitles töörühm Saksamaal Hamburgis 37. Chaose Communication Congressil oma viimaseid tulemusi, nimetades seda "kõige keerukamaks rünnakuahelaks", mida nad operatsioonis seni näinud on kasutanud.

Nullklõpsuga rünnak on suunatud iPhone'i rakendusele iMessage, mis on suunatud iOS-i versioonidele kuni iOS 16.2-ni. Kui seda esimest korda nähti, kasutas see ära nelja nullpäeva keeruka struktuuriga rünnakukihtidega.

„Operatsiooni triangulatsiooni” nullklõpsu mobiilirünnak

Rünnak algab süütult, kui pahatahtlikud osalejad saadavad iMessage'i manuse, kasutades ära koodi kaugkäivitamise (RCE) haavatavust. CVE-2023-41990.

See ärakasutamine sihib dokumentideta ADJUST TrueType'i fondijuhiseid, mis on ainult Apple'ile ja mis eksisteerisid üheksakümnendate algusest enne järgnevat paika.

Seejärel süveneb ründejada sügavamale, kasutades JavaScriptCore'i teegiga manipuleerimiseks naasmisele/hüppele orienteeritud programmeerimist ja NSExpression/NSPredicate päringukeele etappe.

Ründajad on JavaScripti manustanud privilegeeritud eskalatsiooni, mis on hoolikalt hägustatud, et varjata selle sisu, mis hõlmab ligikaudu 11,000 XNUMX koodirida.

See keerukas JavaScripti ärakasutamine manööverdab JavaScriptCore'i mälu kaudu ja täidab API natiivseid funktsioone, kasutades JavaScriptCore'i silumisfunktsiooni DollarVM ($vm).

Täisarvude ületäitumise haavatavuse ärakasutamine, mida jälgitakse kui CVE-2023-32434 XNU mälukaardistamise süsteemikõnede raames saavad ründajad seejärel enneolematu lugemis-/kirjutusjuurdepääsu seadme füüsilisele mälule kasutaja tasemel.

Lisaks mööduvad nad lehekaitsekihist (PPL), kasutades riistvaramäluga kaardistatud I/O (MMIO) registreid, mis puudutab haavatavust. Operatsioon Triangulatsioonirühm kasutas seda nullpäevana kuid lõpuks adresseeritud kui CVE-2023-38606 Apple'i poolt.

Seadme kaitsemehhanismidesse tungimisel teostavad ründajad valikulist juhtimist, käivitades IMAgenti protsessi, süstides kasulikku koormust, et kustutada kõik ekspluateerimise jäljed.

Seejärel käivitavad nad nähtamatu Safari protsessi, mis suunatakse veebilehele, mis sisaldab ärakasutamise järgmist etappi.

Veebileht teostab ohvri kontrolli ja eduka autentimise korral käivitab Safari ärakasutamise, kasutades CVE-2023-32435 shellkoodi käivitamiseks.

See shellkood aktiveerib veel ühe kerneli ärakasutamise Machi objektifaili kujul, võimendades kahte sama CVE-d, mida kasutati eelmistes etappides (CVE-2023-32434 ja CVE-2023-38606).

Pärast juurõiguste saamist korraldavad ründajad täiendavaid etappe, installides lõpuks nuhkvara.

Kasvav keerukus iPhone'i küberrünnakutes

Aruandes märgiti, et keerukas mitmeetapiline rünnak on enneolematu keerukuse tase, kasutades iOS-i seadmete erinevaid turvaauke ja suurendades muret küberohtude arenemise pärast.

Kaspersky peamine turvateadlane Boris Larin selgitab, et uus riistvara haavatavus põhineb tõenäoliselt põhimõttel "turvalisus läbi ebaselguse" ja see võib olla mõeldud testimiseks või silumiseks.

"Pärast esialgset nullklõpsuga iMessage'i rünnakut ja sellele järgnenud privileegide eskaleerimist kasutasid ründajad seda funktsiooni riistvarapõhisest turvakaitsest mööda hiilimiseks ja kaitstud mälupiirkondade sisuga manipuleerimiseks," ütleb ta. "See samm oli seadme üle täieliku kontrolli saamiseks otsustava tähtsusega."

Ta lisab, et Kaspersky meeskonnale teadaolevalt ei olnud seda funktsiooni avalikult dokumenteeritud ja püsivara seda ei kasuta, mis kujutab endast märkimisväärset väljakutset selle tuvastamisel ja analüüsimisel tavapäraste turvameetodite abil.

"Kui me räägime iOS-i seadmetest, siis nende süsteemide suletud olemuse tõttu on selliseid rünnakuid tõesti raske tuvastada," ütleb Larin. "Ainsad nende jaoks saadaolevad tuvastamismeetodid on võrguliikluse analüüs ja iTunesiga tehtud seadme varukoopiate kohtuekspertiisi analüüs."

Ta selgitab, et seevastu laua- ja sülearvutite macOS-süsteemid on avatumad ja seetõttu on nende jaoks saadaval tõhusamad tuvastamismeetodid.

"Nendele seadmetele on võimalik installida lõpp-punkti tuvastamine ja vastus (EDR) lahendusi, mis aitavad selliseid rünnakuid tuvastada,” märgib Larin.

Ta soovitab turvameeskondadel oma operatsioonisüsteemi, rakendusi ja viirusetõrjetarkvara regulaarselt värskendada; paika kõik teadaolevad haavatavused; ja pakuvad oma SOC-meeskondadele juurdepääsu uusimale ohuluurele.

"Rakendage EDR-lahendusi lõpp-punkti tasemel tuvastamiseks, uurimiseks ja intsidentide õigeaegseks kõrvaldamiseks, taaskäivitage iga päev, et häirida püsivaid nakkusi, keelake iMessage ja Facetime, et vähendada klõpsamiseta ärakasutamise riske, ja installige kiiresti iOS-i värskendused, et kaitsta end teadaolevate haavatavuste eest," Larin. lisab.

Ajatempel:

Veel alates Tume lugemine