Spyware-aanvallers met 'Operatietriangulatie' omzeilen iPhone-geheugenbeveiligingen

Een voorheen ongedocumenteerde hardwarefunctie binnen Apple's iPhone System on a Chip (SoC) maakt misbruik van meerdere kwetsbaarheden mogelijk, waardoor aanvallers uiteindelijk hardwaregebaseerde geheugenbescherming kunnen omzeilen.

De kwetsbaarheid speelt een centrale rol in de geavanceerde, geavanceerde persistente dreiging (APT) ‘Operation Triangulation’ zero-click-campagne, aldus een verslag van Kaspersky’s Global Research and Analysis Team (GReAT).

De Operatie Triangulatie iOS-cyberspionage-spionagecampagne bestaat sinds 2019 en heeft meerdere kwetsbaarheden als zero-days gebruikt om beveiligingsmaatregelen op iPhones te omzeilen, wat een aanhoudend risico vormt voor de privacy en veiligheid van gebruikers. Tot de doelwitten behoorden onder meer Russische diplomaten en andere functionarissen daar, maar ook particuliere ondernemingen zoals Kaspersky zelf.

In juni bracht Kaspersky een verslag met aanvullende details over het TriangleDB-spyware-implantaat dat in de campagne wordt gebruikt, waarbij talrijke unieke mogelijkheden worden benadrukt, bijvoorbeeld uitgeschakelde functies die in de toekomst zouden kunnen worden ingezet.

Deze week presenteerde het team hun meest recente bevindingen op het 37e Chaos Communication Congress in Hamburg, Duitsland, en noemde het “de meest geavanceerde aanvalsketen” die ze tot nu toe in de operatie hadden zien gebruiken.

De zero-click-aanval is gericht op de iMessage-app van de iPhone, gericht op iOS-versies tot iOS 16.2. Toen het voor het eerst werd gezien, maakte het gebruik van vier zero-days met ingewikkeld gestructureerde aanvalslagen.

Binnen de ‘Operation Triangulation’ Zero-Click mobiele aanval

De aanval begint onschuldig wanneer kwaadwillende actoren een iMessage-bijlage verzenden en misbruik maken van de kwetsbaarheid voor het uitvoeren van externe code (RCE). CVE-2023-41990.

Deze exploit richt zich op de ongedocumenteerde ADJUST TrueType-lettertype-instructie, exclusief voor Apple, die bestond sinds begin jaren negentig vóór een volgende patch.

De aanvalssequentie gaat vervolgens dieper, waarbij gebruik wordt gemaakt van return/jump-georiënteerde programmering en NSExpression/NSPredicate-querytaalfasen om de JavaScriptCore-bibliotheek te manipuleren.

De aanvallers hebben een geprivilegieerde escalatie-exploit in JavaScript ingebed, zorgvuldig verborgen om de inhoud ervan, die ongeveer 11,000 regels code beslaat, te verbergen.

Deze ingewikkelde JavaScript-exploit manoeuvreert door het geheugen van JavaScriptCore en voert native API-functies uit door gebruik te maken van de JavaScriptCore-foutopsporingsfunctie DollarVM ($vm).

Er wordt misbruik gemaakt van een kwetsbaarheid voor overloop van gehele getallen, bijgehouden als CVE-2023-32434 binnen XNU’s geheugentoewijzingsysyscalls krijgen de aanvallers vervolgens ongekende lees-/schrijftoegang tot het fysieke geheugen van het apparaat op gebruikersniveau.

Bovendien omzeilen ze vakkundig de Page Protection Layer (PPL) met behulp van hardware-memory-mapped I/O (MMIO)-registers, een zorgwekkende kwetsbaarheid geëxploiteerd als een zero-day door de Operatie Triangulatiegroep maar uiteindelijk aangesproken als CVE-2023-38606 door Apple.

Nadat ze de verdediging van het apparaat zijn binnengedrongen, oefenen de aanvallers selectieve controle uit door het IMAgent-proces te initiëren, waarbij een lading wordt geïnjecteerd om eventuele exploitatiesporen te wissen.

Vervolgens starten ze een onzichtbaar Safari-proces dat wordt omgeleid naar een webpagina met de volgende fase van de exploit.

De webpagina voert slachtofferverificatie uit en activeert bij succesvolle authenticatie een Safari-exploit met behulp van CVE-2023-32435 om een ​​shellcode uit te voeren.

Deze shellcode activeert nog een andere kernel-exploit in de vorm van een Mach-objectbestand, waarbij gebruik wordt gemaakt van twee van dezelfde CVE's die in eerdere fasen zijn gebruikt (CVE-2023-32434 en CVE-2023-38606).

Zodra de aanvallers rootrechten hebben verkregen, organiseren ze extra fasen en installeren ze uiteindelijk spyware.

Een groeiende verfijning in iPhone-cyberaanvallen

In het rapport wordt opgemerkt dat de ingewikkelde aanval in meerdere fasen een ongekend niveau van verfijning biedt, waarbij uiteenlopende kwetsbaarheden op iOS-apparaten worden uitgebuit en de zorgen over het zich ontwikkelende landschap van cyberdreigingen toenemen.

Boris Larin, hoofdbeveiligingsonderzoeker Kaspersky, legt uit dat de nieuwe hardwarekwetsbaarheid mogelijk gebaseerd is op het principe van ‘beveiliging door onduidelijkheid’, en mogelijk bedoeld was voor testen of debuggen.

“Na de initiële zero-click iMessage-aanval en de daaropvolgende escalatie van bevoegdheden, maakten de aanvallers gebruik van de functie om op hardware gebaseerde beveiligingsmaatregelen te omzeilen en de inhoud van beschermde geheugenregio’s te manipuleren”, zegt hij. “Deze stap was cruciaal voor het verkrijgen van volledige controle over het apparaat.”

Hij voegt eraan toe dat deze functie, voor zover het Kaspersky-team weet, niet publiekelijk is gedocumenteerd en niet door de firmware wordt gebruikt, wat een aanzienlijke uitdaging vormt bij de detectie en analyse ervan met behulp van conventionele beveiligingsmethoden.

“Als we het over iOS-apparaten hebben, is het vanwege het gesloten karakter van deze systemen erg moeilijk om dergelijke aanvallen te detecteren”, zegt Larin. “De enige detectiemethoden die hiervoor beschikbaar zijn, zijn het uitvoeren van een netwerkverkeeranalyse en forensische analyse van apparaatback-ups gemaakt met iTunes.”

Hij legt uit dat macOS-systemen voor desktops en laptops daarentegen meer open zijn en dat er daarom effectievere detectiemethoden voor beschikbaar zijn.

“Op deze apparaten is het mogelijk om te installeren eindpuntdetectie en -respons (EDR) oplossingen die kunnen helpen dergelijke aanvallen te detecteren”, merkt Larin op.

Hij raadt beveiligingsteams aan hun besturingssysteem, applicaties en antivirussoftware regelmatig bij te werken; herstel eventuele bekende kwetsbaarheden; en hun SOC-teams toegang bieden tot de nieuwste dreigingsinformatie.

“Implementeer EDR-oplossingen voor detectie, onderzoek en tijdige oplossing van incidenten op eindpuntniveau, start dagelijks opnieuw op om hardnekkige infecties te doorbreken, schakel iMessage en FaceTime uit om de risico’s van zero-click-exploitatie te verminderen en installeer onmiddellijk iOS-updates om u te beschermen tegen bekende kwetsbaarheden,” Larin voegt toe.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections