En tidligere udokumentert maskinvarefunksjon i Apples iPhone System on a Chip (SoC) muliggjør utnyttelse av flere sårbarheter, og lar angripere til slutt omgå maskinvarebasert minnebeskyttelse.
Sårbarheten spiller en sentral rolle i den sofistikerte avanserte vedvarende trusselen (APT) «Operation Triangulation» null-klikk-kampanjen, ifølge en rapporterer fra Kasperskys globale forsknings- og analyseteam (GReAT).
De Operasjon Triangulering iOS cyberspionage spionkampanje har eksistert siden 2019 og har brukt flere sårbarheter som null dager for å omgå sikkerhetstiltak i iPhones, noe som utgjør en vedvarende risiko for brukernes personvern og sikkerhet. Mål har inkludert russiske diplomater og andre tjenestemenn der, samt private virksomheter som Kaspersky selv.
I juni ga Kaspersky ut en rapporterer tilbyr ytterligere detaljer om TriangleDB-spywareimplantatet som ble brukt i kampanjen, og fremhever en rekke unike funksjoner, for eksempel funksjonshemmede funksjoner som kan distribueres i fremtiden.
Denne uken presenterte teamet sine siste funn på den 37. Chaos Communication Congress i Hamburg, Tyskland, og kalte det "den mest sofistikerte angrepskjeden" de ennå hadde sett bli brukt i operasjonen.
Null-klikk-angrepet er rettet mot iPhones iMessage-app, rettet mot iOS-versjoner opp til iOS 16.2. Da den først ble sett, utnyttet den fire nulldager med intrikat strukturerte angrepslag.
Inne i "Operation Triangulation" Zero-Click Mobile Attack
Angrepet begynner uskyldig når ondsinnede aktører sender et iMessage-vedlegg og utnytter sikkerhetsproblemet med ekstern kjøring av kode (RCE). CVE-2023-41990.
Denne utnyttelsen retter seg mot den udokumenterte ADJUST TrueType-fontinstruksjonen eksklusiv for Apple, som har eksistert siden tidlig på nittitallet før en påfølgende oppdatering.
Angrepssekvensen dykker deretter dypere og utnytter retur/hopp-orientert programmering og NSExpression/NSPredicate-spørringsspråkstadier for å manipulere JavaScriptCore-biblioteket.
Angriperne har innebygd en privilegert eskaleringsutnyttelse i JavaScript, nøye tilslørt for å skjule innholdet, som spenner over omtrent 11,000 XNUMX linjer med kode.
Denne intrikate JavaScript-utnyttingsmanøvreringen gjennom JavaScriptCores minne og utfører native API-funksjoner ved å utnytte JavaScriptCore-feilsøkingsfunksjonen DollarVM ($vm).
Utnytter et heltallsoverløpssårbarhet sporet som CVE-2023-32434 i XNUs minnekartleggingssyscaller får angriperne enestående lese-/skrivetilgang til enhetens fysiske minne på brukernivå.
I tillegg omgår de Page Protection Layer (PPL) med maskinvareminnetilordnede I/O-registre (MMIO), en bekymringsfull sårbarhet utnyttet som en nulldag av Operation Triangulation-gruppen men til slutt adressert som CVE-2023-38606 av Apple.
Etter å ha penetrert enhetens forsvar, utøver angriperne selektiv kontroll ved å starte IMAgent-prosessen, injisere en nyttelast for å fjerne eventuelle utnyttelsesspor.
Deretter starter de en usynlig Safari-prosess omdirigert til en nettside som inneholder neste trinn av utnyttelsen.
Nettsiden utfører offerverifisering og, ved vellykket autentisering, utløser en Safari-utnyttelse ved å bruke CVE-2023-32435 for å utføre en shellcode.
Denne skallkoden aktiverer enda en kjerneutnyttelse i form av en Mach-objektfil, og utnytter to av de samme CVE-ene som ble brukt i tidligere stadier (CVE-2023-32434 og CVE-2023-38606).
Når angriperne har oppnådd root-privilegier, orkestrerer de flere stadier, og installerer til slutt spionprogrammer.
En voksende sofistikering i iPhone-cyberangrep
Rapporten bemerket at det intrikate flertrinnsangrepet presenterer et enestående nivå av sofistikering, utnytter varierte sårbarheter på tvers av iOS-enheter og øker bekymringer over det utviklende landskapet av cybertrusler.
Boris Larin, hovedsikkerhetsforsker Kaspersky, forklarer at den nye maskinvaresårbarheten muligens er basert på prinsippet om "sikkerhet gjennom obscurity", og kan ha vært ment for testing eller feilsøking.
"Etter det første null-klikk iMessage-angrepet og påfølgende rettighetseskalering, utnyttet angriperne funksjonen til å omgå maskinvarebasert sikkerhetsbeskyttelse og manipulere innholdet i beskyttede minneregioner," sier han. "Dette trinnet var avgjørende for å få full kontroll over enheten."
Han legger til at så vidt Kaspersky-teamet kjenner til, hadde ikke denne funksjonen blitt offentlig dokumentert, og den brukes ikke av fastvaren, noe som utgjør en betydelig utfordring i dets deteksjon og analyse ved bruk av konvensjonelle sikkerhetsmetoder.
"Hvis vi snakker om iOS-enheter, på grunn av den lukkede naturen til disse systemene, er det veldig vanskelig å oppdage slike angrep," sier Larin. "De eneste gjenkjenningsmetodene som er tilgjengelige for disse er å utføre en nettverkstrafikkanalyse og rettsmedisinsk analyse av sikkerhetskopiering av enheter laget med iTunes."
Han forklarer at i motsetning er stasjonære og bærbare macOS-systemer mer åpne, og derfor er mer effektive deteksjonsmetoder tilgjengelige for disse.
"På disse enhetene er det mulig å installere endepunktdeteksjon og respons (EDR) løsninger som kan bidra til å oppdage slike angrep,» bemerker Larin.
Han anbefaler at sikkerhetsteam oppdaterer operativsystem, applikasjoner og antivirusprogramvare regelmessig; lappe eventuelle kjente sårbarheter; og gi SOC-teamene deres tilgang til den nyeste trusselinformasjonen.
"Implementer EDR-løsninger for deteksjon, etterforskning og rettidig utbedring av hendelser på endepunktsnivå, start på nytt daglig for å forstyrre vedvarende infeksjoner, deaktiver iMessage og Facetime for å redusere risikoen for utnyttelse av null-klikk, og installer iOS-oppdateringer umiddelbart for å beskytte mot kjente sårbarheter," Larin legger til.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
- : har
- :er
- :ikke
- $OPP
- 000
- 11
- 16
- 2019
- a
- Om oss
- adgang
- Ifølge
- tvers
- aktører
- Ytterligere
- adressert
- Legger
- justere
- avansert
- avansert vedvarende trussel
- mot
- sikte
- tillater
- an
- analyse
- og
- En annen
- antivirus
- antivirus-programvare
- noen
- api
- app
- eple
- søknader
- ca
- APT
- ER
- AS
- overfall
- At
- angripe
- Angrep
- Autentisering
- tilgjengelig
- klar
- sikkerhetskopier
- basert
- BE
- vært
- før du
- være
- men
- by
- bypass
- ringer
- Kampanje
- CAN
- evner
- nøye
- sentral
- kjede
- utfordre
- Chaos
- chip
- fjerne
- stengt
- kode
- Kommunikasjon
- angå
- bekymringer
- Kongressen
- innhold
- innhold
- kontrast
- kontroll
- konvensjonell
- kunne
- avgjørende
- cyber
- Cyberspionage
- daglig
- dypere
- utplassert
- desktop
- detaljer
- oppdage
- Gjenkjenning
- enhet
- Enheter
- diplomater
- regissert
- deaktivert
- Avbryte
- dokumentert
- to
- Tidlig
- Effektiv
- heve
- innebygd
- bedrifter
- eskalering
- Eter (ETH)
- etter hvert
- utvikling
- eksempel
- Eksklusiv
- henrette
- Utfører
- gjennomføring
- Øvelse
- eksisterende
- forklarer
- Exploit
- utnytting
- FaceTime
- langt
- Trekk
- Egenskaper
- filet
- funn
- Først
- etter
- Til
- Rettsmedisinsk
- skjema
- fire
- fra
- fullt
- funksjoner
- framtid
- Gevinst
- Tyskland
- Global
- flott
- Økende
- Guard
- HAD
- hamburg
- Hard
- maskinvare
- Ha
- he
- hjelpe
- utheving
- bolig
- HTTPS
- if
- iverksette
- in
- hendelser
- inkludert
- Infeksjoner
- innledende
- initiere
- initiere
- installere
- installere
- Intelligens
- tiltenkt
- innviklet
- etterforskning
- usynlig
- iOS
- iPhone
- IT
- DET ER
- selv
- iTunes
- Javascript
- jpg
- juni
- Kaspersky
- kjent
- landskap
- Språk
- laptop
- siste
- lag
- lag
- utleie
- Nivå
- utnyttet
- utnytte
- Bibliotek
- linjer
- MacOS
- laget
- skadelig
- kartlegging
- Kan..
- målinger
- Minne
- metoder
- Mobil
- mer
- mest
- flere
- innfødt
- Natur
- nettverk
- nettverkstrafikk
- Ny
- ny maskinvare
- neste
- nst
- bemerket
- Merknader
- mange
- objekt
- å skaffe seg
- of
- tilby
- tjenestemenn
- on
- bare
- åpen
- drift
- operativsystem
- drift
- or
- Annen
- enn
- side
- patch
- utføre
- utfører
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- mulig
- muligens
- presentert
- gaver
- tidligere
- Principal
- prinsipp
- Før
- privatliv
- Personvern og sikkerhet
- privat
- privilegium
- privilegert
- privilegier
- prosess
- Programmering
- beskyttet
- beskyttelse
- gi
- offentlig
- virkelig
- nylig
- anbefaler
- redusere
- regioner
- registre
- regelmessig
- utgitt
- fjernkontroll
- rapporterer
- forskning
- forsker
- svar
- Risiko
- risikoer
- Rolle
- root
- russisk
- s
- Safari
- samme
- sier
- sikkerhet
- Sikkerhetstiltak
- sett
- selektiv
- send
- Sequence
- signifikant
- siden
- So
- Software
- Solutions
- sofistikert
- raffinement
- spenn
- spyware
- Scene
- stadier
- Trinn
- strukturert
- senere
- vellykket
- slik
- system
- Systemer
- snakker
- mål
- lag
- lag
- Testing
- Det
- De
- Fremtiden
- deres
- deretter
- Der.
- Disse
- de
- denne
- trussel
- trussel etterretning
- trusler
- Gjennom
- rettidig
- til
- trafikk
- to
- unik
- enestående
- Oppdater
- oppdateringer
- upon
- brukt
- Bruker
- Brukere
- ved hjelp av
- benyttes
- Verifisering
- Offer
- Sikkerhetsproblemer
- sårbarhet
- var
- we
- web
- uke
- VI VIL
- når
- hvilken
- med
- innenfor
- ennå
- zephyrnet
