مهاجمان جاسوس‌افزار «عملیات مثلث‌سازی» محافظ‌های حافظه آیفون را دور می‌زنند

یک ویژگی سخت‌افزاری که قبلاً مستند نشده بود در سیستم آیفون اپل روی یک تراشه (SoC) امکان بهره‌برداری از آسیب‌پذیری‌های متعدد را فراهم می‌کند و در نهایت به مهاجمان اجازه می‌دهد حفاظت از حافظه مبتنی بر سخت‌افزار را دور بزنند.

طبق یک گزارش، این آسیب‌پذیری نقش اصلی را در کمپین «عملیات مثلث‌سازی» (APT) با صفر کلیک بازی می‌کند. گزارش از تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT).

La کمپین جاسوسی سایبری عملیات مثلث سازی iOS از سال 2019 وجود داشته است و از چندین آسیب‌پذیری به عنوان روزهای صفر برای دور زدن اقدامات امنیتی در آیفون‌ها استفاده کرده است که خطری دائمی برای حریم خصوصی و امنیت کاربران به همراه دارد. اهداف شامل دیپلمات های روسی و دیگر مقامات آنجا و همچنین شرکت های خصوصی مانند خود کسپرسکی بوده است.

در ماه ژوئن، کسپرسکی یک گزارش ارائه جزئیات بیشتر در مورد کاشت نرم افزار جاسوسی TriangleDB مورد استفاده در کمپین، برجسته کردن قابلیت های منحصر به فرد متعدد، به عنوان مثال ویژگی های غیرفعال شده که می توانند در آینده به کار گرفته شوند.

این هفته، این تیم جدیدترین یافته‌های خود را در سی و هفتمین کنگره ارتباطات آشوب در هامبورگ، آلمان ارائه کرد و آن را «پیچیده‌ترین زنجیره حمله» نامید که تاکنون در این عملیات استفاده شده است.

حمله صفر کلیک به برنامه iMessage آیفون، برای نسخه‌های iOS تا iOS 16.2 انجام می‌شود. زمانی که برای اولین بار مشاهده شد، از چهار روز صفر با لایه‌های ساختار پیچیده حمله بهره‌برداری می‌کرد.

در حمله به موبایل «عملیات مثلثی» صفر کلیک

این حمله به طور بی گناه آغاز می شود زیرا عوامل مخرب یک پیوست iMessage را ارسال می کنند و از آسیب پذیری اجرای کد از راه دور (RCE) سوء استفاده می کنند. CVE-2023-41990.

این اکسپلویت دستور فونت بدون سند ADJUST TrueType را که انحصاری برای اپل است، هدف قرار می دهد که از اوایل دهه نود قبل از وصله بعدی وجود داشت.

سپس توالی حمله عمیق‌تر می‌شود و از برنامه‌نویسی بازگشت/پرش و مراحل زبان پرس و جو NSExpression/NSPredicate برای دستکاری کتابخانه JavaScriptCore استفاده می‌کند.

مهاجمان یک اکسپلویت تشدید ممتاز را در جاوا اسکریپت تعبیه کرده اند که به دقت مخفی شده است تا محتوای آن را پنهان کند که تقریباً 11,000 خط کد را در بر می گیرد.

این مانورهای پیچیده اکسپلویت جاوا اسکریپت از طریق حافظه JavaScriptCore انجام می‌شود و توابع API بومی را با بهره‌برداری از ویژگی اشکال‌زدایی JavaScriptCore DollarVM ($vm) اجرا می‌کند.

بهره برداری از آسیب پذیری سرریز عدد صحیح که به عنوان ردیابی شده است CVE-2023-32434 در سیستم نقشه برداری حافظه XNU، مهاجمان دسترسی خواندن/نوشتن بی سابقه ای به حافظه فیزیکی دستگاه در سطح کاربر به دست می آورند.

علاوه بر این، آنها با استفاده از رجیسترهای ورودی/خروجی (MMIO) با حافظه سخت افزاری، لایه حفاظتی صفحه (PPL) را به طرز ماهرانه ای دور می زنند که یک آسیب پذیری نگران کننده است. به عنوان یک روز صفر توسط گروه عملیات مثلثی مورد بهره برداری قرار گرفت اما در نهایت به عنوان خطاب CVE-2023-38606 توسط اپل

پس از نفوذ به سیستم دفاعی دستگاه، مهاجمان با شروع فرآیند IMAgent، کنترل انتخابی را اعمال می‌کنند و یک محموله برای پاک کردن هر گونه اثر سوء استفاده را تزریق می‌کنند.

متعاقباً، آنها یک فرآیند Safari نامرئی را آغاز می‌کنند که به یک صفحه وب که مرحله بعدی اکسپلویت را در خود جای می‌دهد هدایت می‌شود.

صفحه وب تأیید قربانی را انجام می دهد و پس از احراز هویت موفقیت آمیز، یک سوء استفاده سافاری را با استفاده از CVE-2023-32435 برای اجرای یک کد پوسته

این کد پوسته یک اکسپلویت هسته دیگر را در قالب یک فایل شی Mach فعال می‌کند و از دو CVE مشابه استفاده شده در مراحل قبلی (CVE-2023-32434 و CVE-2023-38606) استفاده می‌کند.

پس از به دست آوردن امتیازات ریشه، مهاجمان مراحل اضافی را هماهنگ می کنند و در نهایت نرم افزارهای جاسوسی را نصب می کنند.

پیچیدگی رو به رشد در حملات سایبری آیفون

این گزارش خاطرنشان کرد که این حمله پیچیده و چند مرحله‌ای سطح بی‌سابقه‌ای از پیچیدگی را نشان می‌دهد، که از آسیب‌پذیری‌های مختلف در دستگاه‌های iOS بهره‌برداری می‌کند و نگرانی‌ها را در مورد چشم‌انداز در حال تکامل تهدیدات سایبری افزایش می‌دهد.

بوریس لارین، محقق اصلی امنیتی کسپرسکی، توضیح می‌دهد که آسیب‌پذیری سخت‌افزاری جدید احتمالاً بر اساس اصل «امنیت از طریق ابهام» است و ممکن است برای آزمایش یا اشکال‌زدایی در نظر گرفته شده باشد.

او می‌گوید: «به دنبال حمله صفر کلیک اولیه iMessage و افزایش امتیازات بعدی، مهاجمان از این ویژگی برای دور زدن حفاظت‌های امنیتی مبتنی بر سخت‌افزار و دستکاری محتوای مناطق حفاظت‌شده حافظه استفاده کردند. "این مرحله برای به دست آوردن کنترل کامل بر دستگاه بسیار مهم بود."

او می‌افزاید که تا آنجایی که تیم کسپرسکی اطلاع دارد، این ویژگی به صورت عمومی مستند نشده بود و توسط سیستم‌افزار از آن استفاده نمی‌شود، که چالش مهمی را در تشخیص و تحلیل آن با استفاده از روش‌های امنیتی مرسوم ایجاد می‌کند.

لارین می‌گوید: «اگر در مورد دستگاه‌های iOS صحبت می‌کنیم، به دلیل ماهیت بسته این سیستم‌ها، تشخیص چنین حملاتی واقعاً سخت است. تنها روش‌های تشخیص موجود برای این موارد، انجام تجزیه و تحلیل ترافیک شبکه و تجزیه و تحلیل پزشکی قانونی از پشتیبان‌گیری‌های دستگاه ساخته شده با iTunes است.

او توضیح می‌دهد که در مقابل، سیستم‌های macOS دسکتاپ و لپ‌تاپ بازتر هستند و بنابراین، روش‌های تشخیص مؤثرتری برای این موارد در دسترس هستند.

«در این دستگاه‌ها امکان نصب وجود دارد تشخیص و پاسخ نقطه پایانی (EDR) راه حل هایی که می تواند به شناسایی چنین حملاتی کمک کند.

او توصیه می کند که تیم های امنیتی سیستم عامل، برنامه های کاربردی و نرم افزار آنتی ویروس خود را به طور منظم به روز کنند. هر گونه آسیب پذیری شناخته شده را اصلاح کنید. و به تیم های SOC خود دسترسی به آخرین اطلاعات تهدیدات را فراهم کنند.

Larin «راه‌حل‌های EDR را برای شناسایی، بررسی و اصلاح به‌موقع حوادث در سطح پایانی پیاده‌سازی کنید، روزانه راه‌اندازی مجدد کنید تا عفونت‌های مداوم را مختل کنید، iMessage و Facetime را غیرفعال کنید تا خطرات بهره‌برداری با کلیک صفر را کاهش دهید، و به‌روزرسانی‌های iOS را به سرعت نصب کنید تا از آسیب‌پذیری‌های شناخته شده محافظت کنید.» اضافه می کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections