「三角測量作戦」スパイウェア攻撃者がiPhoneのメモリ保護をバイパス

Apple の iPhone System on a Chip (SoC) 内のこれまで文書化されていなかったハードウェア機能により、複数の脆弱性の悪用が可能になり、最終的には攻撃者がハードウェアベースのメモリ保護をバイパスできるようになります。

ある情報によると、この脆弱性は、高度な持続的脅威 (APT) 「Operation Triangulation」ゼロクリック キャンペーンにおいて中心的な役割を果たしています。 レポート カスペルスキーのグローバル調査分析チーム (GReAT) によるものです。

　 Operation Triangulation iOS サイバースパイ活動スパイ キャンペーン は 2019 年から存在しており、複数の脆弱性をゼロデイとして利用して iPhone のセキュリティ対策を回避し、ユーザーのプライバシーとセキュリティに継続的なリスクをもたらしています。標的には、ロシアの外交官やその他の当局者だけでなく、カスペルスキー自体などの民間企業も含まれている。

6 月にカスペルスキーは、 レポート キャンペーンで使用された TriangleDB スパイウェア インプラントに関する追加の詳細を提供し、将来展開される可能性のある無効化された機能など、多数の独自の機能を強調しています。

今週、チームはドイツのハンブルクで開催された第 37 回カオス コミュニケーション会議で最新の調査結果を発表し、これが作戦で使用されたことをこれまでに見たことのない「最も洗練された攻撃チェーン」であると呼びました。

ゼロクリック攻撃は iPhone の iMessage アプリに向けられており、iOS 16.2 までの iOS バージョンが対象となっています。最初に確認されたとき、複雑に構造化された攻撃層を使用して XNUMX つのゼロデイを悪用していました。

「Operation Triangulation」ゼロクリックモバイル攻撃の内部

この攻撃は、悪意のある攻撃者がリモート コード実行 (RCE) の脆弱性を悪用して iMessage の添付ファイルを送信すると、無害に始まります。 CVE-2023-41990.

このエクスプロイトは、90 年代初頭から次のパッチが登場するまで存在していた、文書化されていない Apple 独自の ADJUST TrueType フォント命令をターゲットにしています。

その後、攻撃シーケンスはさらに深く掘り下げられ、リターン/ジャンプ指向プログラミングと NSExpression/NSPredicate クエリ言語ステージを利用して JavaScriptCore ライブラリを操作します。

攻撃者は、コードの約 11,000 行に及ぶ内容を隠すために慎重に難読化された特権エスカレーションのエクスプロイトを JavaScript に埋め込みました。

この複雑な JavaScript エクスプロイトは、JavaScriptCore のメモリを介して操作し、JavaScriptCore デバッグ機能 DollarVM ($vm) を利用してネイティブ API 関数を実行します。

整数オーバーフローの脆弱性を悪用し、次のように追跡されています。 CVE-2023-32434 XNU のメモリ マッピング システムコール内で、攻撃者はユーザー レベルでデバイスの物理メモリに対する前例のない読み取り/書き込みアクセスを取得します。

さらに、これらはハードウェア メモリ マップド I/O (MMIO) レジスタを使用してページ保護層 (PPL) を巧みにバイパスします。これは懸念される脆弱性です。 Operation Triangulation グループによってゼロデイとして悪用される しかし最終的には次のように扱われました CVE-2023-38606 アップル。

攻撃者は、デバイスの防御を突破すると、IMAgent プロセスを開始し、ペイロードを挿入して悪用の痕跡を消去することで選択的制御を実行します。

その後、攻撃者は、エクスプロイトの次の段階を収容する Web ページにリダイレクトされる、目に見えない Safari プロセスを開始します。

Web ページは被害者の検証を実行し、認証が成功すると、以下を使用して Safari エクスプロイトをトリガーします。 CVE-2023-32435 シェルコードを実行します。

このシェルコードは、前の段階で使用された 2023 つの同じ CVE (CVE-32434-2023 および CVE-38606-XNUMX) を利用して、Mach オブジェクト ファイルの形式でさらに別のカーネル エクスプロイトをアクティブ化します。

root 権限を取得すると、攻撃者は追加の段階を調整し、最終的にスパイウェアをインストールします。

巧妙化するiPhoneサイバー攻撃

報告書は、この複雑な多段階の攻撃は前例のない高度なレベルを示しており、iOS デバイスのさまざまな脆弱性を悪用し、進化するサイバー脅威の状況に対する懸念を高めていると指摘しています。

カスペルスキーの主任セキュリティ研究者であるボリス・ラリン氏は、新しいハードウェアの脆弱性はおそらく「隠蔽によるセキュリティ」の原則に基づいており、テストまたはデバッグを目的としたものである可能性があると説明しています。

「最初のゼロクリック iMessage 攻撃とその後の権限昇格に続いて、攻撃者はこの機能を利用してハードウェア ベースのセキュリティ保護をバイパスし、保護されたメモリ領域の内容を操作しました」と彼は言います。 「このステップは、デバイスを完全に制御するために非常に重要でした。」

同氏は、カスペルスキーチームが知る限り、この機能は公に文書化されておらず、ファームウェアでも使用されていないため、従来のセキュリティ手法を使用した検出と分析には大きな課題があると付け加えた。

「iOS デバイスの場合、これらのシステムは閉鎖的な性質を持っているため、そのような攻撃を検出するのは非常に困難です」と Larin 氏は言います。 「これらを検出する唯一の方法は、ネットワーク トラフィック分析と、iTunes で作成されたデバイス バックアップのフォレンジック分析を実行することです。」

対照的に、デスクトップおよびラップトップの macOS システムはよりオープンであるため、より効果的な検出方法が利用可能であると彼は説明します。

「これらのデバイスではインストールが可能です エンドポイントの検出と応答 (EDR) このような攻撃の検出に役立つソリューションが必要です」と Larin 氏は述べています。

同氏は、セキュリティ チームがオペレーティング システム、アプリケーション、ウイルス対策ソフトウェアを定期的に更新することを推奨しています。既知の脆弱性にパッチを適用します。 SOC チームに最新の脅威インテリジェンスへのアクセスを提供します。

「エンドポイントレベルの検出、調査、インシデントのタイムリーな修復のための EDR ソリューションを実装し、持続的な感染を阻止するために毎日再起動し、ゼロクリックエクスプロイトのリスクを軽減するために iMessage と Facetime を無効にし、既知の脆弱性から保護するために iOS アップデートを迅速にインストールします。」と Larin 氏は言います。と付け加えます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections