Napadalci vohunske programske opreme 'Operation Triangulation' obidejo zaščito pomnilnika iPhone

Prej nedokumentirana funkcija strojne opreme v Applovem sistemu iPhone na čipu (SoC) omogoča izkoriščanje več ranljivosti, s čimer napadalcem sčasoma omogoči, da obidejo zaščito pomnilnika, ki temelji na strojni opremi.

Glede na poročilo iz ekipe Kaspersky Global Research and Analysis Team (GReAT).

O Operacija Triangulacija Vohunska kampanja kibernetskega vohunjenja iOS obstaja od leta 2019 in je uporabil več ranljivosti kot zero-days, da bi obšel varnostne ukrepe v iPhonih, kar predstavlja stalno tveganje za zasebnost in varnost uporabnikov. Tarče so vključevale ruske diplomate in druge uradnike, pa tudi zasebna podjetja, kot je sam Kaspersky.

Junija je Kaspersky izdal a poročilo ponuja dodatne podrobnosti o vsadku vohunske programske opreme TriangleDB, uporabljenem v kampanji, s poudarkom na številnih edinstvenih zmožnostih, na primer onemogočenih funkcijah, ki bi jih lahko uporabili v prihodnosti.

Ta teden je ekipa predstavila svoje najnovejše ugotovitve na 37. kongresu Chaos Communication Congress v Hamburgu v Nemčiji in jo označila za "najbolj sofisticirano verigo napadov", ki so jo doslej videli uporabiti v operaciji.

Napad brez klika je usmerjen na aplikacijo iMessage za iPhone, ki je namenjena različicam iOS do iOS 16.2. Ko je bil prvič viden, je izkoriščal štiri ničelne dni z zapleteno strukturiranimi plastmi napada.

Znotraj mobilnega napada brez klika 'Operation Triangulation'

Napad se začne nedolžno, ko zlonamerni akterji pošljejo prilogo iMessage in izkoristijo ranljivost oddaljenega izvajanja kode (RCE). CVE-2023-41990.

To izkoriščanje cilja na nedokumentirana navodila za pisavo ADJUST TrueType, ekskluzivna za Apple, ki obstajajo od zgodnjih devetdesetih let pred naslednjim popravkom.

Zaporedje napadov se nato poglobi, pri čemer izkoristi programiranje, usmerjeno v vračanje/skok, in stopnje poizvedovalnega jezika NSExpression/NSPredicate za manipulacijo knjižnice JavaScriptCore.

Napadalci so v JavaScript vgradili privilegirano eskalacijsko izkoriščanje, ki je skrbno zakrito, da bi prikrili njegovo vsebino, ki obsega približno 11,000 vrstic kode.

To zapleteno izkoriščanje JavaScripta manevrira skozi pomnilnik JavaScriptCore in izvaja izvorne funkcije API-ja z izkoriščanjem funkcije za odpravljanje napak JavaScriptCore DollarVM ($vm).

Izkoriščanje ranljivosti prekoračitve celega števila, ki se spremlja kot CVE-2023-32434 znotraj sistemskih klicev za preslikavo pomnilnika XNU napadalci pridobijo brez primere dostop za branje/pisanje do fizičnega pomnilnika naprave na ravni uporabnika.

Poleg tega spretno zaobidejo zaščitno plast strani (PPL) z uporabo strojno preslikanih V/I (MMIO) registrov, kar je zaskrbljujoča ranljivost. skupina Operation Triangulation izrablja kot zero-day a sčasoma naslovili kot CVE-2023-38606 proizvajalec Apple.

Ko napadejo obrambo naprave, napadalci izvajajo selektivni nadzor tako, da sprožijo proces IMAgent in vbrizgajo koristno obremenitev, da počistijo vse sledi izkoriščanja.

Nato sprožijo neviden proces Safari, ki je preusmerjen na spletno stran, kjer je naslednja stopnja izkoriščanja.

Spletna stran izvede preverjanje žrtve in po uspešni avtentikaciji sproži izkoriščanje brskalnika Safari z uporabo CVE-2023-32435 za izvedbo ukazne kode.

Ta lupinska koda aktivira še eno izkoriščanje jedra v obliki Machove objektne datoteke, ki izkorišča dva enaka CVE-ja, uporabljena v prejšnjih fazah (CVE-2023-32434 in CVE-2023-38606).

Ko napadalci pridobijo root privilegije, organizirajo dodatne stopnje in na koncu namestijo vohunsko programsko opremo.

Vse večja sofisticiranost kibernetskih napadov na iPhone

Poročilo ugotavlja, da zapleten, večstopenjski napad predstavlja izjemno raven sofisticiranosti, saj izkorišča različne ranljivosti v napravah iOS in povečuje zaskrbljenost zaradi razvijajoče se pokrajine kibernetskih groženj.

Boris Larin, glavni varnostni raziskovalec družbe Kaspersky, pojasnjuje, da nova ranljivost strojne opreme verjetno temelji na načelu "varnosti skozi nejasnost" in je bila morda namenjena testiranju ali odpravljanju napak.

»Po začetnem napadu iMessage brez klika in poznejšem povečanju privilegijev so napadalci izkoristili to funkcijo, da bi obšli varnostne zaščite, ki temeljijo na strojni opremi, in manipulirali z vsebino zaščitenih pomnilniških regij,« pravi. "Ta korak je bil ključen za pridobitev popolnega nadzora nad napravo."

Dodaja, da kolikor je ekipa Kaspersky seznanjena, ta funkcija ni bila javno dokumentirana in je vdelana programska oprema ne uporablja, kar predstavlja pomemben izziv pri njenem odkrivanju in analizi z uporabo običajnih varnostnih metod.

"Če govorimo o napravah iOS, je zaradi zaprte narave teh sistemov res težko odkriti takšne napade," pravi Larin. "Edine metode zaznavanja, ki so na voljo za te, so analiza omrežnega prometa in forenzična analiza varnostnih kopij naprav, narejenih z iTunes."

Pojasnjuje, da so v nasprotju s tem namizni in prenosni sistemi macOS bolj odprti, zato so zanje na voljo učinkovitejše metode odkrivanja.

»Na te naprave je možno namestiti zaznavanje in odziv končne točke (EDR) rešitve, ki lahko pomagajo odkriti takšne napade,« ugotavlja Larin.

Priporoča, da varnostne ekipe redno posodabljajo svoj operacijski sistem, aplikacije in protivirusno programsko opremo; popravi vse znane ranljivosti; in svojim ekipam SOC omogočijo dostop do najnovejših obveščevalnih podatkov o grožnjah.

»Implementirajte rešitve EDR za odkrivanje na ravni končne točke, preiskavo in pravočasno odpravo incidentov, vsak dan ponovno zaženite, da prekinete trdovratne okužbe, onemogočite iMessage in Facetime, da zmanjšate tveganja izkoriščanja brez klika, in takoj namestite posodobitve za iOS za zaščito pred znanimi ranljivostmi,« Larin dodaja.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections