Osoby atakujące oprogramowanie szpiegowskie w ramach operacji triangulacji omijają zabezpieczenia pamięci iPhone'a

Nieudokumentowana wcześniej funkcja sprzętowa systemu iPhone System on a Chip (SoC) firmy Apple umożliwia wykorzystanie wielu luk w zabezpieczeniach, co ostatecznie pozwala atakującym ominąć sprzętową ochronę pamięci.

Według analityka luka ta odgrywa kluczową rolę w kampanii zaawansowanego trwałego zagrożenia (APT) „Operacja Triangulacja” polegającej na zerowym kliknięciu. raport z Globalnego zespołu ds. badań i analiz firmy Kaspersky (GReAT).

Połączenia Operacja Triangulacja Cyberszpiegowska kampania szpiegowska na iOS istnieje od 2019 roku i wykorzystuje wiele luk w zabezpieczeniach jako dzień zerowy, aby ominąć zabezpieczenia w iPhone'ach, stwarzając trwałe zagrożenie dla prywatności i bezpieczeństwa użytkowników. Celem ataków byli rosyjscy dyplomaci i inni urzędnicy, a także prywatne przedsiębiorstwa, takie jak samo Kaspersky.

W czerwcu Kaspersky wypuścił plik raport przedstawia dodatkowe szczegóły dotyczące implantu spyware TriangleDB użytego w kampanii, podkreślając liczne unikalne możliwości, na przykład wyłączone funkcje, które można wdrożyć w przyszłości.

W tym tygodniu zespół przedstawił swoje najnowsze odkrycia na 37. Kongresie Komunikacji Chaosu w Hamburgu w Niemczech, nazywając go „najbardziej wyrafinowanym łańcuchem ataków”, jaki kiedykolwiek widział w tej operacji.

Atak zero-click jest skierowany na aplikację iMessage na iPhone'a, skierowaną na wersje iOS do iOS 16.2. Kiedy został zauważony po raz pierwszy, wykorzystywał cztery dni zerowe i misternie zorganizowane warstwy ataku.

Informacje o ataku mobilnym typu „Operacja Triangulacja” polegającym na zerowym kliknięciu

Atak rozpoczyna się niewinnie, gdy szkodliwi aktorzy wysyłają załącznik do iMessage, wykorzystując lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE). CVE-2023-41990.

Celem tego exploita jest nieudokumentowana instrukcja dotycząca czcionek ADJUST TrueType, dostępna wyłącznie dla firmy Apple, istniejąca od początku lat dziewięćdziesiątych przed kolejną łatką.

Następnie sekwencja ataku sięga głębiej, wykorzystując programowanie zorientowane na powrót/skok i etapy języka zapytań NSExpression/NSPredicate w celu manipulowania biblioteką JavaScriptCore.

Atakujący umieścili w JavaScript uprzywilejowany exploit eskalacji, starannie zaciemniony, aby ukryć jego zawartość, która obejmuje około 11,000 XNUMX linii kodu.

Ten skomplikowany exploit JavaScript manewruje pamięcią JavaScriptCore i wykonuje natywne funkcje API, wykorzystując funkcję debugowania JavaScriptCore DollarVM ($vm).

Wykorzystanie luki w zabezpieczeniach związanej z przepełnieniem liczby całkowitej, śledzonej jako CVE-2023-32434 w ramach wywołań systemowych mapowania pamięci XNU atakujący uzyskują bezprecedensowy dostęp do odczytu/zapisu w pamięci fizycznej urządzenia na poziomie użytkownika.

Co więcej, sprawnie omijają warstwę ochrony strony (PPL), korzystając ze sprzętowych rejestrów we/wy (MMIO) mapowanych na pamięć, co stanowi niepokojącą lukę wykorzystywane jako dzień zerowy przez grupę Operacji Triangulacja ale ostatecznie zaadresowano jako CVE-2023-38606 przez Apple.

Po przeniknięciu przez zabezpieczenia urządzenia napastnicy sprawują selektywną kontrolę, inicjując proces IMAgent, wprowadzając ładunek w celu usunięcia wszelkich śladów wykorzystania.

Następnie inicjują niewidzialny proces Safari przekierowujący na stronę internetową, na której znajduje się kolejny etap exploita.

Strona internetowa przeprowadza weryfikację ofiary i po pomyślnym uwierzytelnieniu uruchamia exploita Safari, używając CVE-2023-32435 aby wykonać kod powłoki.

Ten kod powłoki aktywuje kolejny exploit jądra w postaci pliku obiektowego Macha, wykorzystujący dwa takie same CVE użyte w poprzednich etapach (CVE-2023-32434 i CVE-2023-38606).

Po uzyskaniu uprawnień roota osoby atakujące organizują dodatkowe etapy, ostatecznie instalując oprogramowanie szpiegujące.

Rosnące wyrafinowanie cyberataków na iPhone'a

W raporcie zauważono, że skomplikowany, wieloetapowy atak charakteryzuje się niespotykanym dotąd poziomem wyrafinowania, wykorzystuje różne luki w zabezpieczeniach urządzeń z systemem iOS i budzi obawy w związku z ewoluującym krajobrazem cyberzagrożeń.

Boris Larin, główny badacz bezpieczeństwa Kaspersky, wyjaśnia, że ​​nowa luka w zabezpieczeniach sprzętu prawdopodobnie opiera się na zasadzie „bezpieczeństwa poprzez zaciemnienie” i mogła być przeznaczona do testowania lub debugowania.

„Po pierwszym ataku na iMessage bez kliknięcia i późniejszej eskalacji uprawnień napastnicy wykorzystali tę funkcję do ominięcia zabezpieczeń sprzętowych i manipulowania zawartością chronionych obszarów pamięci” – mówi. „Ten krok był kluczowy dla uzyskania pełnej kontroli nad urządzeniem.”

Dodaje, że według wiedzy zespołu Kaspersky funkcja ta nie została publicznie udokumentowana ani nie jest wykorzystywana przez oprogramowanie sprzętowe, co stanowi poważne wyzwanie w jej wykrywaniu i analizie przy użyciu konwencjonalnych metod bezpieczeństwa.

„Jeśli mówimy o urządzeniach z systemem iOS, ze względu na zamknięty charakter tych systemów, naprawdę trudno jest wykryć takie ataki” – mówi Larin. „Jedyne dostępne metody wykrywania to analiza ruchu sieciowego i analiza kryminalistyczna kopii zapasowych urządzeń utworzonych za pomocą iTunes”.

Wyjaśnia, że ​​z kolei systemy macOS dla komputerów stacjonarnych i laptopów są bardziej otwarte, dlatego dostępne są dla nich skuteczniejsze metody wykrywania.

„Na tych urządzeniach można zainstalować wykrywanie i reagowanie na punkty końcowe (EDR) rozwiązań, które mogą pomóc w wykryciu takich ataków” – zauważa Larin.

Zaleca, aby zespoły ds. bezpieczeństwa regularnie aktualizowały swój system operacyjny, aplikacje i oprogramowanie antywirusowe; załatać wszelkie znane luki; i zapewnij swoim zespołom SOC dostęp do najnowszych informacji o zagrożeniach.

„Wdrażaj rozwiązania EDR do wykrywania, badania i szybkiego naprawiania incydentów na poziomie punktów końcowych, codziennie uruchamiaj ponownie, aby przerwać uporczywe infekcje, wyłączaj iMessage i Facetime, aby zmniejszyć ryzyko exploitów typu zero-click, oraz niezwłocznie instaluj aktualizacje iOS, aby chronić przed znanymi lukami w zabezpieczeniach” – Larin dodaje.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections