En tidigare odokumenterad hårdvarufunktion i Apples iPhone System on a Chip (SoC) möjliggör utnyttjande av flera sårbarheter, vilket så småningom låter angripare kringgå hårdvarubaserat minnesskydd.
Sårbarheten spelar en central roll i den sofistikerade avancerade persistent hot (APT) "Operation Triangulation" nollklick-kampanjen, enligt en rapport från Kasperskys Global Research and Analysis Team (GReAT).
Smakämnen Operation Triangulation iOS cyberspionage spionkampanj har funnits sedan 2019 och har använt flera sårbarheter som noll dagar för att kringgå säkerhetsåtgärder i iPhones, vilket utgör en ihållande risk för användarnas integritet och säkerhet. Målen har inkluderat ryska diplomater och andra tjänstemän där, såväl som privata företag som Kaspersky själv.
I juni släppte Kaspersky en rapport erbjuder ytterligare information om TriangleDB-spionprogramsimplantatet som används i kampanjen, och lyfter fram många unika funktioner, till exempel inaktiverade funktioner som kan användas i framtiden.
Den här veckan presenterade teamet sina senaste rön vid den 37:e Chaos Communication Congress i Hamburg, Tyskland, och kallade det "den mest sofistikerade attackkedjan" som de ännu hade sett användas i operationen.
Angreppet med nollklick riktas mot iPhones iMessage-app, riktad mot iOS-versioner upp till iOS 16.2. När den först sågs utnyttjade den fyra nolldagar med intrikat strukturerade attacklager.
Inuti "Operation Triangulation" Zero-Click Mobile Attack
Attacken börjar oskyldigt när illvilliga aktörer skickar en iMessage-bilaga och utnyttjar sårbarheten för fjärrkodkörning (RCE) CVE-2023-41990.
Denna exploatering riktar sig mot den odokumenterade ADJUST TrueType-teckensnittsinstruktionen exklusiv för Apple, som existerade sedan början av nittiotalet innan en efterföljande patch.
Attacksekvensen fördjupar sig sedan djupare och utnyttjar retur/hopp-orienterad programmering och NSExpression/NSPredicate frågespråksstadier för att manipulera JavaScriptCore-biblioteket.
Angriparna har bäddat in en privilegierad eskaleringsexploatering i JavaScript, noggrant fördunklad för att dölja dess innehåll, som sträcker sig över cirka 11,000 XNUMX rader kod.
Denna invecklade JavaScript-exploateringsmanövrering genom JavaScriptCores minne och exekverar inbyggda API-funktioner genom att utnyttja JavaScriptCores felsökningsfunktion DollarVM ($vm).
Utnyttjar en sårbarhet för heltalsspill som spåras som CVE-2023-32434 inom XNU:s minneskartläggningssyscaller får angriparna sedan oöverträffad läs-/skrivåtkomst till enhetens fysiska minne på användarnivå.
Dessutom kringgår de på ett skickligt sätt Page Protection Layer (PPL) med hjälp av hårdvaruminnesmappade I/O-register (MMIO), en angenäm sårbarhet utnyttjas som en nolldag av Operation Triangulation-gruppen men så småningom tilltalas som CVE-2023-38606 av Apple.
När angriparna penetrerar enhetens försvar utövar angriparna selektiv kontroll genom att initiera IMAgent-processen, injicera en nyttolast för att rensa eventuella exploateringsspår.
Därefter initierar de en osynlig Safari-process som omdirigeras till en webbsida som innehåller nästa steg av exploateringen.
Webbsidan utför offerverifiering och, efter framgångsrik autentisering, utlöser en Safari-exploatering, med CVE-2023-32435 för att köra en skalkod.
Denna skalkod aktiverar ännu en kärnexploat i form av en Mach-objektfil, som utnyttjar två av samma CVE:er som använts i tidigare steg (CVE-2023-32434 och CVE-2023-38606).
När angriparna har fått root-privilegier orkestrerar de ytterligare steg och installerar så småningom spionprogram.
En växande sofistikering i iPhone cyberattacker
Rapporten noterade att den komplicerade attacken i flera steg presenterar en oöverträffad nivå av sofistikering, utnyttjar olika sårbarheter över iOS-enheter och väcker farhågor över det växande landskapet av cyberhot.
Boris Larin, huvudsäkerhetsforskare Kaspersky, förklarar att den nya hårdvaransårbarheten möjligen är baserad på principen om "säkerhet genom obscurity", och kan ha varit avsedd för testning eller felsökning.
"Efter den initiala noll-klick iMessage-attacken och efterföljande privilegieskalering, utnyttjade angriparna funktionen för att kringgå hårdvarubaserade säkerhetsskydd och manipulera innehållet i skyddade minnesregioner", säger han. "Detta steg var avgörande för att få full kontroll över enheten."
Han tillägger att så vitt Kaspersky-teamet känner till hade den här funktionen inte dokumenterats offentligt, och den används inte av den fasta programvaran, vilket innebär en betydande utmaning i dess upptäckt och analys med hjälp av konventionella säkerhetsmetoder.
"Om vi pratar om iOS-enheter, på grund av den stängda naturen hos dessa system, är det verkligen svårt att upptäcka sådana attacker," säger Larin. "De enda detekteringsmetoderna som är tillgängliga för dessa är att utföra en nätverkstrafikanalys och kriminalteknisk analys av enhetssäkerhetskopior gjorda med iTunes."
Han förklarar att däremot är stationära och bärbara macOS-system mer öppna och därför finns det mer effektiva detektionsmetoder tillgängliga för dessa.
"På dessa enheter är det möjligt att installera endpoint detection and response (EDR) lösningar som kan hjälpa till att upptäcka sådana attacker”, konstaterar Larin.
Han rekommenderar att säkerhetsteam uppdaterar sina operativsystem, applikationer och antivirusprogram regelbundet; korrigera alla kända sårbarheter; och ge sina SOC-team tillgång till den senaste hotintelligensen.
"Implementera EDR-lösningar för detektering, undersökning och snabb åtgärd av incidenter på slutpunktsnivå, starta om dagligen för att störa ihållande infektioner, inaktivera iMessage och Facetime för att minska riskerna med nollklicksexploatering och installera iOS-uppdateringar omedelbart för att skydda mot kända sårbarheter," Larin lägger till.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
- : har
- :är
- :inte
- $UPP
- 000
- 11
- 16
- 2019
- a
- Om oss
- tillgång
- Enligt
- tvärs
- aktörer
- Annat
- adresserad
- Lägger
- justera
- avancerat
- avancerat bestående hot
- mot
- syftar
- tillåter
- an
- analys
- och
- Annan
- antivirus
- Antivirusprogram
- vilken som helst
- api
- app
- Apple
- tillämpningar
- cirka
- APT
- ÄR
- AS
- misshandel
- At
- attackera
- Attacker
- Autentisering
- tillgänglig
- medveten
- säkerhetskopior
- baserat
- BE
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- men
- by
- bypass
- anropande
- Kampanj
- KAN
- kapacitet
- försiktigt
- centrala
- kedja
- utmanar
- Kaos
- chip
- klar
- stängt
- koda
- Kommunikation
- om
- oro
- Kongressen
- innehåll
- innehåll
- Däremot
- kontroll
- konventionell
- kunde
- avgörande
- cyber
- Cyberspionage
- dagligen
- djupare
- utplacerade
- desktop
- detaljer
- upptäcka
- Detektering
- anordning
- enheter
- diplo
- riktad
- inaktiverad
- Störa
- dokumenterat
- grund
- Tidig
- Effektiv
- upplyft
- inbäddade
- företag
- eskalering
- Eter (ETH)
- så småningom
- utvecklas
- exempel
- Exklusiv
- exekvera
- Utför
- utförande
- Motionera
- befintliga
- Förklarar
- Exploit
- utnyttjande
- FaceTime
- långt
- Leverans
- Funktioner
- Fil
- resultat
- Förnamn
- efter
- För
- Forensic
- formen
- fyra
- från
- full
- funktioner
- framtida
- Få
- Tyskland
- Välgörenhet
- stor
- Odling
- Guard
- hade
- hamburg
- Hård
- hårdvara
- Har
- he
- hjälpa
- belysa
- bostäder
- HTTPS
- if
- genomföra
- in
- incidenter
- ingår
- Infektioner
- inledande
- initiera
- initiering
- installera
- installera
- Intelligens
- avsedd
- invecklad
- Undersökningen
- osynlig
- iOS
- iPhone
- IT
- DESS
- sig
- iTunes
- JavaScript
- jpg
- juni
- kaspersky
- känd
- liggande
- språk
- laptop
- senaste
- lager
- skikt
- uthyrning
- Nivå
- belånade
- hävstångs
- Bibliotek
- rader
- Mac OS
- gjord
- skadlig
- kartläggning
- Maj..
- åtgärder
- Minne
- metoder
- Mobil
- mer
- mest
- multipel
- nativ
- Natur
- nät
- nätverkstrafik
- Nya
- ny maskinvara
- Nästa
- NIST
- noterade
- Anmärkningar
- talrik
- objektet
- erhållande
- of
- erbjuda
- tjänstemän
- on
- endast
- öppet
- drift
- operativsystem
- drift
- or
- Övriga
- över
- sida
- Lappa
- utföra
- utför
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- spelar
- möjlig
- eventuellt
- presenteras
- presenterar
- tidigare
- Principal
- Principen
- Innan
- privatpolicy
- Integritet och säkerhet
- privat
- privilegium
- privilegierat
- privilegier
- process
- Programmering
- skyddad
- skydd
- ge
- publicly
- verkligen
- senaste
- rekommenderar
- minska
- regioner
- register
- regelbundet
- frigörs
- avlägsen
- rapport
- forskning
- forskaren
- respons
- Risk
- risker
- Roll
- rot
- ryska
- s
- Safari
- Samma
- säger
- säkerhet
- Säkerhetsåtgärder
- sett
- selektiv
- sända
- Sekvens
- signifikant
- eftersom
- So
- Mjukvara
- Lösningar
- sofistikerade
- raffinemang
- spann
- spionprogram
- Etapp
- stadier
- Steg
- strukturerade
- senare
- framgångsrik
- sådana
- system
- System
- tala
- mål
- grupp
- lag
- Testning
- den där
- Smakämnen
- Framtiden
- deras
- sedan
- Där.
- Dessa
- de
- detta
- hot
- hot intelligence
- hot
- Genom
- tid
- till
- trafik
- två
- unika
- utan motstycke
- Uppdatering
- Uppdateringar
- på
- Begagnade
- Användare
- användare
- med hjälp av
- utnyttjas
- Verifiering
- Victim
- sårbarheter
- sårbarhet
- var
- we
- webb
- vecka
- VÄL
- när
- som
- med
- inom
- ännu
- zephyrnet
