Шпигунські зловмисники «операції тріангуляції» обходять захист пам’яті iPhone

Шпигунські зловмисники «операції тріангуляції» обходять захист пам’яті iPhone

Мітка часу: 29 грудня 2023 р., 11:17
Вихідний вузол: 3040038

Раніше незадокументована апаратна функція в системі Apple iPhone на чіпі (SoC) дозволяє використовувати численні вразливості, що зрештою дозволяє зловмисникам обійти апаратний захист пам’яті.

Згідно з звітом від Kaspersky’s Global Research and Analysis Team (GReAT).

Команда Шпигунська кампанія кібершпигунства iOS Operation Triangulation існує з 2019 року та використовує численні вразливості як нульових днів, щоб обійти заходи безпеки в iPhone, створюючи постійний ризик для конфіденційності та безпеки користувачів. Цілями були російські дипломати та інші офіційні особи, а також приватні підприємства, такі як сам Kaspersky.

У червні Kaspersky випустив a звітом пропонуючи додаткові відомості про імплантат шпигунського програмного забезпечення TriangleDB, який використовувався в кампанії, підкреслюючи численні унікальні можливості, наприклад, відключені функції, які можна буде розгорнути в майбутньому.

Цього тижня команда представила свої останні висновки на 37-му конгресі Chaos Communication Congress у Гамбурзі, Німеччина, назвавши це «найскладнішим ланцюгом атак», який вони коли-небудь бачили в операції.

Атака з нульовим кліком спрямована на програму iMessage для iPhone, призначену для версій iOS до iOS 16.2. Коли його вперше побачили, він використовував чотири нульові дні зі складно структурованими рівнями атак.

Всередині атаки «Операція триангуляція» з нульовим кліком для мобільних пристроїв

Атака починається невинно, коли зловмисники надсилають вкладення iMessage, використовуючи вразливість віддаленого виконання коду (RCE). CVE-2023-41990.

Цей експлойт націлений на незадокументовану інструкцію шрифту ADJUST TrueType, ексклюзивну для Apple, яка існує з початку дев’яностих до наступного виправлення.

Потім послідовність атаки проникає глибше, використовуючи програмування, орієнтоване на повернення/перехід, і етапи мови запитів NSExpression/NSPredicate для маніпулювання бібліотекою JavaScriptCore.

Зловмисники вбудували привілейований експлойт ескалації в JavaScript, ретельно обфускований, щоб приховати його вміст, який охоплює приблизно 11,000 XNUMX рядків коду.

Цей складний експлойт JavaScript маневрує через пам’ять JavaScriptCore та виконує власні функції API, використовуючи функцію налагодження JavaScriptCore DollarVM ($vm).

Використання вразливості переповнення цілого числа, що відстежується як CVE-2023-32434 в системних викликах відображення пам’яті XNU зловмисники отримують безпрецедентний доступ для читання/запису до фізичної пам’яті пристрою на рівні користувача.

Крім того, вони вміло обходять Рівень захисту сторінки (PPL), використовуючи апаратні регістри вводу/виводу, відображені в пам’яті (MMIO), що викликає занепокоєння. використовувався як нульовий день групою «Операція Тріангуляція». але врешті-решт звернувся як CVE-2023-38606 від Apple.

Після проникнення в захист пристрою зловмисники здійснюють вибірковий контроль, ініціюючи процес IMAgent, вводячи корисне навантаження, щоб очистити будь-які сліди використання.

Згодом вони ініціюють невидимий процес Safari, який перенаправляється на веб-сторінку, де знаходиться наступний етап експлойту.

Веб-сторінка виконує перевірку жертви та, після успішної автентифікації, запускає експлойт Safari, використовуючи CVE-2023-32435 щоб виконати шелл-код.

Цей шелл-код активує ще один експлойт ядра у формі об’єктного файлу Mach, використовуючи два однакові CVE, які використовувалися на попередніх етапах (CVE-2023-32434 і CVE-2023-38606).

Отримавши привілеї root, зловмисники організовують додаткові етапи, зрештою встановлюючи шпигунське програмне забезпечення.

Зростаюча складність кібератак на iPhone

У звіті зазначено, що складна багатоетапна атака має безпрецедентний рівень складності, використовує різноманітні вразливості на пристроях iOS і викликає занепокоєння щодо мінливого середовища кіберзагроз.

Борис Ларін, головний дослідник безпеки Kaspersky, пояснює, що нова апаратна вразливість, можливо, заснована на принципі «безпека через невідомість» і, можливо, була призначена для тестування або налагодження.

«Після початкової атаки iMessage з нульовим кліком і подальшого підвищення привілеїв зловмисники використали цю функцію, щоб обійти апаратні засоби захисту та маніпулювати вмістом захищених областей пам’яті», — каже він. «Цей крок був вирішальним для отримання повного контролю над пристроєм».

Він додає, що, наскільки відомо команді Касперського, ця функція не була публічно задокументована, і вона не використовується мікропрограмою, що становить серйозну проблему для її виявлення та аналізу за допомогою звичайних методів безпеки.

«Якщо ми говоримо про iOS-пристрої, то через закритість цих систем виявити такі атаки дуже складно», — говорить Ларін. «Єдині доступні методи виявлення — це аналіз мережевого трафіку та криміналістичний аналіз резервних копій пристроїв, створених за допомогою iTunes».

Він пояснює, що, навпаки, системи macOS для настільних комп’ютерів і ноутбуків є більш відкритими, тому для них доступні більш ефективні методи виявлення.

«На ці пристрої можна встановити виявлення та реагування кінцевої точки (EDR) рішення, які можуть допомогти виявити такі атаки», – зазначає Ларін.

Він рекомендує командам безпеки регулярно оновлювати свою операційну систему, програми та антивірусне програмне забезпечення; виправити будь-які відомі вразливості; і надати своїм командам SOC доступ до найновіших даних про загрози.

«Впроваджуйте рішення EDR для виявлення на рівні кінцевих точок, розслідування та своєчасного усунення інцидентів, щодня перезавантажуйтесь, щоб порушити постійні інфекції, вимкніть iMessage і Facetime, щоб зменшити ризики експлойту без клацання миші, і негайно встановлюйте оновлення iOS для захисту від відомих уразливостей», — Ларін. додає.

Часова мітка:

Більше від Темне читання