Apple の iPhone System on a Chip (SoC) 内のこれまで文書化されていなかったハードウェア機能により、複数の脆弱性の悪用が可能になり、最終的には攻撃者がハードウェアベースのメモリ保護をバイパスできるようになります。
ある情報によると、この脆弱性は、高度な持続的脅威 (APT) 「Operation Triangulation」ゼロクリック キャンペーンにおいて中心的な役割を果たしています。 レポート カスペルスキーのグローバル調査分析チーム (GReAT) によるものです。
Operation Triangulation iOS サイバースパイ活動スパイ キャンペーン は 2019 年から存在しており、複数の脆弱性をゼロデイとして利用して iPhone のセキュリティ対策を回避し、ユーザーのプライバシーとセキュリティに継続的なリスクをもたらしています。標的には、ロシアの外交官やその他の当局者だけでなく、カスペルスキー自体などの民間企業も含まれている。
6 月にカスペルスキーは、 レポート キャンペーンで使用された TriangleDB スパイウェア インプラントに関する追加の詳細を提供し、将来展開される可能性のある無効化された機能など、多数の独自の機能を強調しています。
今週、チームはドイツのハンブルクで開催された第 37 回カオス コミュニケーション会議で最新の調査結果を発表し、これが作戦で使用されたことをこれまでに見たことのない「最も洗練された攻撃チェーン」であると呼びました。
ゼロクリック攻撃は iPhone の iMessage アプリに向けられており、iOS 16.2 までの iOS バージョンが対象となっています。最初に確認されたとき、複雑に構造化された攻撃層を使用して XNUMX つのゼロデイを悪用していました。
「Operation Triangulation」ゼロクリックモバイル攻撃の内部
この攻撃は、悪意のある攻撃者がリモート コード実行 (RCE) の脆弱性を悪用して iMessage の添付ファイルを送信すると、無害に始まります。 CVE-2023-41990.
このエクスプロイトは、90 年代初頭から次のパッチが登場するまで存在していた、文書化されていない Apple 独自の ADJUST TrueType フォント命令をターゲットにしています。
その後、攻撃シーケンスはさらに深く掘り下げられ、リターン/ジャンプ指向プログラミングと NSExpression/NSPredicate クエリ言語ステージを利用して JavaScriptCore ライブラリを操作します。
攻撃者は、コードの約 11,000 行に及ぶ内容を隠すために慎重に難読化された特権エスカレーションのエクスプロイトを JavaScript に埋め込みました。
この複雑な JavaScript エクスプロイトは、JavaScriptCore のメモリを介して操作し、JavaScriptCore デバッグ機能 DollarVM ($vm) を利用してネイティブ API 関数を実行します。
整数オーバーフローの脆弱性を悪用し、次のように追跡されています。 CVE-2023-32434 XNU のメモリ マッピング システムコール内で、攻撃者はユーザー レベルでデバイスの物理メモリに対する前例のない読み取り/書き込みアクセスを取得します。
さらに、これらはハードウェア メモリ マップド I/O (MMIO) レジスタを使用してページ保護層 (PPL) を巧みにバイパスします。これは懸念される脆弱性です。 Operation Triangulation グループによってゼロデイとして悪用される しかし最終的には次のように扱われました CVE-2023-38606 アップル。
攻撃者は、デバイスの防御を突破すると、IMAgent プロセスを開始し、ペイロードを挿入して悪用の痕跡を消去することで選択的制御を実行します。
その後、攻撃者は、エクスプロイトの次の段階を収容する Web ページにリダイレクトされる、目に見えない Safari プロセスを開始します。
Web ページは被害者の検証を実行し、認証が成功すると、以下を使用して Safari エクスプロイトをトリガーします。 CVE-2023-32435 シェルコードを実行します。
このシェルコードは、前の段階で使用された 2023 つの同じ CVE (CVE-32434-2023 および CVE-38606-XNUMX) を利用して、Mach オブジェクト ファイルの形式でさらに別のカーネル エクスプロイトをアクティブ化します。
root 権限を取得すると、攻撃者は追加の段階を調整し、最終的にスパイウェアをインストールします。
巧妙化するiPhoneサイバー攻撃
報告書は、この複雑な多段階の攻撃は前例のない高度なレベルを示しており、iOS デバイスのさまざまな脆弱性を悪用し、進化するサイバー脅威の状況に対する懸念を高めていると指摘しています。
カスペルスキーの主任セキュリティ研究者であるボリス・ラリン氏は、新しいハードウェアの脆弱性はおそらく「隠蔽によるセキュリティ」の原則に基づいており、テストまたはデバッグを目的としたものである可能性があると説明しています。
「最初のゼロクリック iMessage 攻撃とその後の権限昇格に続いて、攻撃者はこの機能を利用してハードウェア ベースのセキュリティ保護をバイパスし、保護されたメモリ領域の内容を操作しました」と彼は言います。 「このステップは、デバイスを完全に制御するために非常に重要でした。」
同氏は、カスペルスキーチームが知る限り、この機能は公に文書化されておらず、ファームウェアでも使用されていないため、従来のセキュリティ手法を使用した検出と分析には大きな課題があると付け加えた。
「iOS デバイスの場合、これらのシステムは閉鎖的な性質を持っているため、そのような攻撃を検出するのは非常に困難です」と Larin 氏は言います。 「これらを検出する唯一の方法は、ネットワーク トラフィック分析と、iTunes で作成されたデバイス バックアップのフォレンジック分析を実行することです。」
対照的に、デスクトップおよびラップトップの macOS システムはよりオープンであるため、より効果的な検出方法が利用可能であると彼は説明します。
「これらのデバイスではインストールが可能です エンドポイントの検出と応答 (EDR) このような攻撃の検出に役立つソリューションが必要です」と Larin 氏は述べています。
同氏は、セキュリティ チームがオペレーティング システム、アプリケーション、ウイルス対策ソフトウェアを定期的に更新することを推奨しています。既知の脆弱性にパッチを適用します。 SOC チームに最新の脅威インテリジェンスへのアクセスを提供します。
「エンドポイントレベルの検出、調査、インシデントのタイムリーな修復のための EDR ソリューションを実装し、持続的な感染を阻止するために毎日再起動し、ゼロクリックエクスプロイトのリスクを軽減するために iMessage と Facetime を無効にし、既知の脆弱性から保護するために iOS アップデートを迅速にインストールします。」と Larin 氏は言います。と付け加えます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
- :持っている
- :は
- :not
- $UP
- 000
- 11
- 16
- 2019
- a
- 私たちについて
- アクセス
- 従った
- 越えて
- 俳優
- NEW
- 対処する
- 追加
- 調整します
- 高度な
- 高度な持続的脅威
- に対して
- 目的としました
- ことができます
- an
- 分析
- および
- 別の
- アンチウイルス
- ウイルス対策ソフト
- どれか
- API
- アプリ
- Apple
- 約
- APT
- です
- AS
- 暴行
- At
- 攻撃
- 攻撃
- 認証
- 利用できます
- 知って
- バックアップ
- ベース
- BE
- き
- さ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼び出し
- キャンペーン
- 缶
- 機能
- 慎重に
- 中央の
- チェーン
- 挑戦する
- カオス
- チップ
- クリア
- 閉まっている
- コード
- コミュニケーション
- について
- 懸念事項
- 議会
- コンテンツ
- 中身
- コントラスト
- コントロール
- 従来の
- 可能性
- 重大な
- サイバー
- サイバースパイ
- daily
- より深い
- 展開
- デスクトップ
- 細部
- 検出
- 検出
- デバイス
- Devices
- 外交官
- 指示された
- 無効
- 混乱する
- 文書化された
- 原因
- 早い
- 効果的な
- 昇降する
- 埋め込まれた
- 企業
- エスカレーション
- エーテル(ETH)
- 最終的に
- 進化
- 例
- 特別
- 実行します
- 実行する
- 実行
- 運動
- 既存の
- 説明
- 悪用する
- 搾取
- FaceTime社
- 遠く
- 特徴
- 特徴
- File
- 調査結果
- 名
- フォロー中
- 法医学
- フォーム
- 4
- から
- フル
- 機能
- 未来
- 利得
- ドイツ
- グローバル
- 素晴らしい
- 成長
- ガード
- 持っていました
- ハンブルク
- ハード
- Hardware
- 持ってる
- he
- 助けます
- 強調表示
- 住宅
- HTTPS
- if
- 実装する
- in
- 事件
- 含まれました
- 感染症
- 初期
- 開始する
- 開始する
- install
- インストールする
- インテリジェンス
- 意図された
- 複雑な
- 調査
- 目に見えない
- iOS
- iPhone
- IT
- ITS
- 自体
- iTunes
- JavaScriptを
- JPG
- 六月
- カスペルスキー
- 既知の
- 風景
- 言語
- ノートパソコン
- 最新の
- 層
- 層
- させる
- レベル
- レバレッジ
- 活用
- 図書館
- ライン
- MacOSの
- 製
- 悪意のある
- マッピング
- 五月..
- 措置
- メモリ
- メソッド
- モバイル
- 他には?
- 最も
- の試合に
- ネイティブ
- 自然
- ネットワーク
- ネットワークトラフィック
- 新作
- 新しいハードウェア
- 次の
- ニスト
- 注意
- ノート
- 多数の
- オブジェクト
- 入手
- of
- 提供すること
- 関係者
- on
- の
- 開いた
- オペレーティング
- オペレーティングシステム
- 操作
- or
- その他
- が
- ページ
- パッチ
- 実行する
- 実行する
- 物理的な
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 演劇
- 可能
- おそらく
- PLM platform.
- プレゼント
- 前に
- 校長
- 原則
- 事前の
- プライバシー
- プライバシーとセキュリティ
- プライベート
- 特権
- 特権を持つ
- 特権
- プロセス
- プログラミング
- 保護された
- 保護
- 提供します
- 公然と
- 本当に
- 最近
- お勧めする
- 減らします
- 地域
- レジスタ
- 定期的に
- リリース
- リモート
- レポート
- 研究
- 研究者
- 応答
- リスク
- リスク
- 職種
- ルート
- ロシア
- s
- Safari
- 同じ
- 言う
- セキュリティ
- セキュリティー対策
- 見て
- 選択的
- 送信
- シーケンス
- 重要
- から
- So
- ソフトウェア
- ソリューション
- 洗練された
- 洗練された
- スパン
- スパイウェア
- ステージ
- ステージ
- 手順
- 構造化された
- それに続きます
- 成功した
- そのような
- システム
- 会話
- ターゲット
- チーム
- チーム
- テスト
- それ
- 未来
- アプリ環境に合わせて
- その後
- そこ。
- ボーマン
- 彼ら
- この
- 脅威
- 脅威インテリジェンス
- 脅威
- 介して
- タイムリーな
- 〜へ
- トラフィック
- 2
- ユニーク
- 前例のない
- アップデイト
- 更新版
- に
- 中古
- ユーザー
- users
- 利用された
- Verification
- 被害者
- 脆弱性
- 脆弱性
- ました
- we
- ウェブ
- 週間
- WELL
- いつ
- which
- 以内
- まだ
- ゼファーネット