Penyerang Spyware 'Operasi Triangulasi' Melewati Perlindungan Memori iPhone

Fitur perangkat keras yang sebelumnya tidak terdokumentasikan dalam System on a Chip (SoC) iPhone Apple memungkinkan eksploitasi berbagai kerentanan, yang pada akhirnya memungkinkan penyerang melewati perlindungan memori berbasis perangkat keras.

Kerentanan ini memainkan peran penting dalam kampanye zero-click “Operasi Triangulasi” ancaman persisten tingkat lanjut (APT) yang canggih, menurut sebuah melaporkan dari Tim Riset dan Analisis Global (GReAT) Kaspersky.

Grafik Operasi Triangulasi Kampanye mata-mata cyberespionage iOS telah ada sejak tahun 2019 dan telah memanfaatkan berbagai kerentanan sebagai zero-day untuk melewati langkah-langkah keamanan di iPhone, sehingga menimbulkan risiko terus-menerus terhadap privasi dan keamanan pengguna. Sasarannya mencakup diplomat Rusia dan pejabat lain di sana, serta perusahaan swasta seperti Kaspersky sendiri.

Pada bulan Juni, Kaspersky merilis a melaporkan menawarkan rincian tambahan tentang implan spyware TriangleDB yang digunakan dalam kampanye, menyoroti berbagai kemampuan unik, misalnya fitur yang dinonaktifkan yang dapat diterapkan di masa mendatang.

Minggu ini, tim tersebut mempresentasikan temuan terbaru mereka di Kongres Komunikasi Chaos ke-37 di Hamburg, Jerman, dan menyebutnya sebagai “rantai serangan paling canggih” yang pernah mereka lihat digunakan dalam operasi tersebut.

Serangan zero-click diarahkan ke aplikasi iMessage iPhone, ditujukan untuk versi iOS hingga iOS 16.2. Ketika pertama kali terlihat, ia mengeksploitasi empat zero-day dengan lapisan serangan yang terstruktur secara rumit.

Di dalam Serangan Seluler Zero-Click 'Operasi Triangulasi'

Serangan dimulai secara tidak sengaja ketika pelaku jahat mengirimkan lampiran iMessage, mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE). CVE-2023-41990.

Eksploitasi ini menargetkan instruksi font ADJUST TrueType yang tidak berdokumen dan eksklusif untuk Apple, yang sudah ada sejak awal tahun sembilan puluhan sebelum patch berikutnya.

Urutan serangan kemudian menggali lebih dalam, memanfaatkan pemrograman berorientasi return/jump dan tahapan bahasa kueri NSExpression/NSPredicate untuk memanipulasi perpustakaan JavaScriptCore.

Para penyerang telah menyematkan eksploitasi eskalasi istimewa dalam JavaScript, dengan hati-hati dikaburkan untuk menyembunyikan kontennya, yang mencakup sekitar 11,000 baris kode.

Eksploitasi JavaScript yang rumit ini bermanuver melalui memori JavaScriptCore dan menjalankan fungsi API asli dengan memanfaatkan fitur debugging JavaScriptCore DollarVM ($vm).

Memanfaatkan kerentanan integer overflow yang dilacak sebagai CVE-2023-32434 dalam syscall pemetaan memori XNU, penyerang kemudian mendapatkan akses baca/tulis yang belum pernah terjadi sebelumnya ke memori fisik perangkat di tingkat pengguna.

Selain itu, mereka dengan mahir melewati Lapisan Perlindungan Halaman (PPL) menggunakan register I/O (MMIO) yang dipetakan memori perangkat keras, sebuah kerentanan yang mengkhawatirkan. dieksploitasi sebagai zero-day oleh kelompok Operasi Triangulasi tapi akhirnya ditangani sebagai CVE-2023-38606 oleh Apple.

Setelah menembus pertahanan perangkat, penyerang melakukan kontrol selektif dengan memulai proses IMAgent, menyuntikkan muatan untuk menghapus jejak eksploitasi.

Selanjutnya, mereka memulai proses Safari tak kasat mata yang dialihkan ke halaman Web yang menampung tahap eksploitasi berikutnya.

Halaman Web melakukan verifikasi korban dan, setelah otentikasi berhasil, memicu eksploitasi Safari, menggunakan CVE-2023-32435 untuk mengeksekusi kode shell.

Shellcode ini mengaktifkan eksploitasi kernel lainnya dalam bentuk file objek Mach, memanfaatkan dua CVE yang sama yang digunakan pada tahap sebelumnya (CVE-2023-32434 dan CVE-2023-38606).

Setelah mendapatkan hak akses root, penyerang mengatur tahapan tambahan, yang pada akhirnya menginstal spyware.

Kecanggihan yang Berkembang dalam Serangan Siber iPhone

Laporan tersebut mencatat bahwa serangan multi-tahap yang rumit ini menghadirkan tingkat kecanggihan yang belum pernah terjadi sebelumnya, mengeksploitasi beragam kerentanan di seluruh perangkat iOS dan meningkatkan kekhawatiran terhadap lanskap ancaman dunia maya yang terus berkembang.

Boris Larin, peneliti keamanan utama Kaspersky, menjelaskan bahwa kerentanan perangkat keras baru mungkin didasarkan pada prinsip “keamanan melalui ketidakjelasan,” dan mungkin dimaksudkan untuk pengujian atau debugging.

“Setelah serangan awal iMessage zero-click dan peningkatan hak istimewa berikutnya, penyerang memanfaatkan fitur tersebut untuk melewati perlindungan keamanan berbasis perangkat keras dan memanipulasi konten wilayah memori yang dilindungi,” katanya. “Langkah ini sangat penting untuk mendapatkan kendali penuh atas perangkat tersebut.”

Dia menambahkan bahwa sejauh yang diketahui tim Kaspersky, fitur ini belum didokumentasikan secara publik, dan tidak digunakan oleh firmware, sehingga menghadirkan tantangan signifikan dalam pendeteksian dan analisis menggunakan metode keamanan konvensional.

“Jika kita berbicara tentang perangkat iOS, karena sifat sistem yang tertutup, sangat sulit untuk mendeteksi serangan semacam itu,” kata Larin. “Satu-satunya metode deteksi yang tersedia untuk ini adalah dengan melakukan analisis lalu lintas jaringan dan analisis forensik terhadap cadangan perangkat yang dibuat dengan iTunes.”

Dia menjelaskan bahwa sebaliknya, sistem macOS desktop dan laptop lebih terbuka sehingga tersedia metode deteksi yang lebih efektif untuk sistem tersebut.

“Pada perangkat ini dimungkinkan untuk melakukan instalasi deteksi dan respons titik akhir (EDR) solusi yang dapat membantu mendeteksi serangan semacam itu,” catat Larin.

Dia merekomendasikan agar tim keamanan memperbarui sistem operasi, aplikasi, dan perangkat lunak antivirus mereka secara teratur; menambal setiap kerentanan yang diketahui; dan memberi tim SOC mereka akses ke intelijen ancaman terbaru.

“Terapkan solusi EDR untuk deteksi tingkat titik akhir, investigasi, dan remediasi insiden secara tepat waktu, reboot setiap hari untuk menghentikan infeksi yang terus-menerus, nonaktifkan iMessage dan Facetime untuk mengurangi risiko eksploitasi zero-click, dan segera instal pembaruan iOS untuk melindungi dari kerentanan yang diketahui,” Larin menambahkan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections