"Operation Triangulation" Vakoiluohjelmahyökkääjät ohittavat iPhonen muistisuojaukset

Aiemmin dokumentoimaton laitteistoominaisuus Applen iPhone System on a Chip (SoC) -järjestelmässä mahdollistaa useiden haavoittuvuuksien hyödyntämisen, jolloin hyökkääjät voivat lopulta ohittaa laitteistopohjaisen muistisuojauksen.

Haavoittuvuudella on keskeinen rooli kehittyneessä kehittyneessä jatkuvassa vaarassa (APT) "Operation Triangulation" nollanapsautuskampanjassa. raportti Kasperskyn Global Research and Analysis Teamilta (GReAT).

- Operation Triangulation iOS kybervakoiluvakoilukampanja on ollut olemassa vuodesta 2019, ja se on käyttänyt useita haavoittuvuuksia nollapäivinä ohittaakseen iPhonen suojatoimenpiteet, mikä muodostaa jatkuvan riskin käyttäjien yksityisyydelle ja turvallisuudelle. Kohteena on ollut venäläisiä diplomaatteja ja muita siellä olevia virkamiehiä sekä yksityisiä yrityksiä, kuten Kaspersky itse.

Kesäkuussa Kaspersky julkaisi a raportti tarjoaa lisätietoja kampanjassa käytetystä TriangleDB-spyware-implantista ja korostaa lukuisia ainutlaatuisia ominaisuuksia, esimerkiksi käytöstä poistettuja ominaisuuksia, joita voitaisiin ottaa käyttöön tulevaisuudessa.

Tällä viikolla ryhmä esitteli viimeisimmät löydöksensä 37. Chaos Communication Congressissa Hampurissa, Saksassa, kutsuen sitä "kehittyneimmäksi hyökkäysketjuksi", jota he olivat nähneet operaatiossa käytettävän.

Nollanapsautushyökkäys on suunnattu iPhonen iMessage-sovellukseen, joka on suunnattu iOS-versioille iOS 16.2 asti. Kun se nähtiin ensimmäisen kerran, se käytti hyväkseen neljää nollapäivää monimutkaisin rakenteellisilla hyökkäystasoilla.

Inside "Operation Triangulation" Zero-Click Mobile Attack

Hyökkäys alkaa viattomasti, kun pahantahtoiset toimijat lähettävät iMessage-liitteen hyödyntäen koodin etäsuorittamisen (RCE) haavoittuvuutta. CVE-2023-41990.

Tämä hyväksikäyttö kohdistuu dokumentoimattomaan ADJUST TrueType -kirjasinohjeeseen, joka on yksinomaan Applella ja joka on ollut olemassa 1990-luvun alusta ennen myöhempää korjausta.

Hyökkäysjärjestys sukeltaa sitten syvemmälle hyödyntäen paluu/hyppy-suuntautunutta ohjelmointia ja NSExpression/NSPredicate-kyselykielen vaiheita JavaScriptCore-kirjaston manipuloimiseksi.

Hyökkääjät ovat upottaneet JavaScriptiin etuoikeutetun eskalaatiohyödynnyksen, joka on huolellisesti hämärtynyt piilottaakseen sen sisällön, joka kattaa noin 11,000 XNUMX koodiriviä.

Tämä monimutkainen JavaScript-hyödynnä liikkuu JavaScriptCoren muistin läpi ja suorittaa alkuperäisiä API-toimintoja hyödyntämällä JavaScriptCore-virheenkorjausominaisuutta DollarVM ($vm).

Kokonaisluvun ylivuotohaavoittuvuuden hyödyntäminen, joka jäljitetään nimellä CVE-2023-32434 XNU:n muistikartoitussyksyissä hyökkääjät saavat sitten ennennäkemättömän luku-/kirjoitusoikeuden laitteen fyysiseen muistiin käyttäjätasolla.

Lisäksi ne ohittavat taitavasti Page Protection Layer (PPL) -järjestelmän käyttämällä laitteistomuistikartoitettuja I/O (MMIO) -rekistereitä, mikä koskee haavoittuvuutta. Operation Triangulation -ryhmä käytti sitä nollapäivänä mutta lopulta osoitettiin nimellä CVE-2023-38606 Applelta.

Tunkeutuessaan laitteen puolustukseen hyökkääjät harjoittavat valikoivaa hallintaa käynnistämällä IMAgent-prosessin ja syöttämällä hyötykuorman poistamaan mahdolliset hyväksikäyttöjäljet.

Myöhemmin he käynnistävät näkymätön Safari-prosessin, joka ohjataan Web-sivulle, joka sisältää hyväksikäytön seuraavan vaiheen.

Web-sivu suorittaa uhrin vahvistuksen ja onnistuneen todennuksen jälkeen käynnistää Safari-hyödyntämisen käyttämällä CVE-2023-32435 suorittaaksesi shell-koodin.

Tämä kuorikoodi aktivoi vielä toisen ytimen hyväksikäytön Mach-objektitiedoston muodossa hyödyntäen kahta samaa CVE:tä, joita käytettiin aikaisemmissa vaiheissa (CVE-2023-32434 ja CVE-2023-38606).

Saatuaan pääkäyttäjän oikeudet hyökkääjät suorittavat lisävaiheita ja lopulta asentavat vakoiluohjelmia.

Kasvava hienostuneisuus iPhonen kyberhyökkäyksistä

Raportissa todettiin, että monimutkainen, monivaiheinen hyökkäys on ennennäkemättömän pitkälle kehitetty, sillä se hyödyntää iOS-laitteiden erilaisia ​​haavoittuvuuksia ja lisää huolta kyberuhkien kehittymisestä.

Pääasiallinen tietoturvatutkija Kaspersky Boris Larin selittää, että uusi laitteistohaavoittuvuus perustuu mahdollisesti "suojaus epäselvyyden kautta" -periaatteeseen, ja se on saatettu olla tarkoitettu testaukseen tai virheenkorjaukseen.

"Alkuperäisen nollanapsautusisen iMessage-hyökkäyksen ja sitä seuranneen oikeuksien eskaloinnin jälkeen hyökkääjät käyttivät ominaisuutta ohittaakseen laitteistopohjaiset suojaukset ja manipuloidakseen suojattujen muistialueiden sisältöä", hän sanoo. "Tämä vaihe oli ratkaisevan tärkeä laitteen täyden hallinnan saamiseksi."

Hän lisää, että Kaspersky-tiimin tietojen mukaan tätä ominaisuutta ei ole dokumentoitu julkisesti, eikä laiteohjelmisto käytä sitä, mikä on merkittävä haaste sen havaitsemisessa ja analysoinnissa perinteisillä suojausmenetelmillä.

"Jos puhumme iOS-laitteista, näiden järjestelmien suljetun luonteen vuoksi tällaisia ​​hyökkäyksiä on todella vaikea havaita", Larin sanoo. "Ainoat käytettävissä olevat tunnistusmenetelmät ovat verkkoliikenteen analysointi ja iTunesilla tehtyjen laitevarmuuskopioiden rikostekninen analyysi."

Hän selittää, että sitä vastoin pöytäkoneiden ja kannettavien macOS-järjestelmät ovat avoimempia, joten niille on saatavilla tehokkaampia tunnistusmenetelmiä.

"Näille laitteille on mahdollista asentaa päätepisteen havaitseminen ja vastaus (EDR) ratkaisuja, jotka voivat auttaa havaitsemaan tällaiset hyökkäykset”, Larin toteaa.

Hän suosittelee, että turvaryhmät päivittävät käyttöjärjestelmänsä, sovelluksensa ja virustorjuntaohjelmistonsa säännöllisesti; korjaa kaikki tunnetut haavoittuvuudet; ja tarjoavat SOC-tiimeilleen pääsyn uusimpiin uhkien tiedustelutietoihin.

"Ota käyttöön EDR-ratkaisuja päätepistetason havaitsemiseen, tutkimiseen ja tapausten oikea-aikaiseen korjaamiseen, käynnistä päivittäin uudelleen pysyvien infektioiden häiritsemiseksi, poista iMessage ja Facetime käytöstä vähentääksesi napsautusten hyödyntämisriskejä ja asenna nopeasti iOS-päivitykset suojataksesi tunnettuja haavoittuvuuksia", Larin. lisää.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections