Раніше незадокументована апаратна функція в системі Apple iPhone на чіпі (SoC) дозволяє використовувати численні вразливості, що зрештою дозволяє зловмисникам обійти апаратний захист пам’яті.
Згідно з звітом від Kaspersky’s Global Research and Analysis Team (GReAT).
Команда Шпигунська кампанія кібершпигунства iOS Operation Triangulation існує з 2019 року та використовує численні вразливості як нульових днів, щоб обійти заходи безпеки в iPhone, створюючи постійний ризик для конфіденційності та безпеки користувачів. Цілями були російські дипломати та інші офіційні особи, а також приватні підприємства, такі як сам Kaspersky.
У червні Kaspersky випустив a звітом пропонуючи додаткові відомості про імплантат шпигунського програмного забезпечення TriangleDB, який використовувався в кампанії, підкреслюючи численні унікальні можливості, наприклад, відключені функції, які можна буде розгорнути в майбутньому.
Цього тижня команда представила свої останні висновки на 37-му конгресі Chaos Communication Congress у Гамбурзі, Німеччина, назвавши це «найскладнішим ланцюгом атак», який вони коли-небудь бачили в операції.
Атака з нульовим кліком спрямована на програму iMessage для iPhone, призначену для версій iOS до iOS 16.2. Коли його вперше побачили, він використовував чотири нульові дні зі складно структурованими рівнями атак.
Всередині атаки «Операція триангуляція» з нульовим кліком для мобільних пристроїв
Атака починається невинно, коли зловмисники надсилають вкладення iMessage, використовуючи вразливість віддаленого виконання коду (RCE). CVE-2023-41990.
Цей експлойт націлений на незадокументовану інструкцію шрифту ADJUST TrueType, ексклюзивну для Apple, яка існує з початку дев’яностих до наступного виправлення.
Потім послідовність атаки проникає глибше, використовуючи програмування, орієнтоване на повернення/перехід, і етапи мови запитів NSExpression/NSPredicate для маніпулювання бібліотекою JavaScriptCore.
Зловмисники вбудували привілейований експлойт ескалації в JavaScript, ретельно обфускований, щоб приховати його вміст, який охоплює приблизно 11,000 XNUMX рядків коду.
Цей складний експлойт JavaScript маневрує через пам’ять JavaScriptCore та виконує власні функції API, використовуючи функцію налагодження JavaScriptCore DollarVM ($vm).
Використання вразливості переповнення цілого числа, що відстежується як CVE-2023-32434 в системних викликах відображення пам’яті XNU зловмисники отримують безпрецедентний доступ для читання/запису до фізичної пам’яті пристрою на рівні користувача.
Крім того, вони вміло обходять Рівень захисту сторінки (PPL), використовуючи апаратні регістри вводу/виводу, відображені в пам’яті (MMIO), що викликає занепокоєння. використовувався як нульовий день групою «Операція Тріангуляція». але врешті-решт звернувся як CVE-2023-38606 від Apple.
Після проникнення в захист пристрою зловмисники здійснюють вибірковий контроль, ініціюючи процес IMAgent, вводячи корисне навантаження, щоб очистити будь-які сліди використання.
Згодом вони ініціюють невидимий процес Safari, який перенаправляється на веб-сторінку, де знаходиться наступний етап експлойту.
Веб-сторінка виконує перевірку жертви та, після успішної автентифікації, запускає експлойт Safari, використовуючи CVE-2023-32435 щоб виконати шелл-код.
Цей шелл-код активує ще один експлойт ядра у формі об’єктного файлу Mach, використовуючи два однакові CVE, які використовувалися на попередніх етапах (CVE-2023-32434 і CVE-2023-38606).
Отримавши привілеї root, зловмисники організовують додаткові етапи, зрештою встановлюючи шпигунське програмне забезпечення.
Зростаюча складність кібератак на iPhone
У звіті зазначено, що складна багатоетапна атака має безпрецедентний рівень складності, використовує різноманітні вразливості на пристроях iOS і викликає занепокоєння щодо мінливого середовища кіберзагроз.
Борис Ларін, головний дослідник безпеки Kaspersky, пояснює, що нова апаратна вразливість, можливо, заснована на принципі «безпека через невідомість» і, можливо, була призначена для тестування або налагодження.
«Після початкової атаки iMessage з нульовим кліком і подальшого підвищення привілеїв зловмисники використали цю функцію, щоб обійти апаратні засоби захисту та маніпулювати вмістом захищених областей пам’яті», — каже він. «Цей крок був вирішальним для отримання повного контролю над пристроєм».
Він додає, що, наскільки відомо команді Касперського, ця функція не була публічно задокументована, і вона не використовується мікропрограмою, що становить серйозну проблему для її виявлення та аналізу за допомогою звичайних методів безпеки.
«Якщо ми говоримо про iOS-пристрої, то через закритість цих систем виявити такі атаки дуже складно», — говорить Ларін. «Єдині доступні методи виявлення — це аналіз мережевого трафіку та криміналістичний аналіз резервних копій пристроїв, створених за допомогою iTunes».
Він пояснює, що, навпаки, системи macOS для настільних комп’ютерів і ноутбуків є більш відкритими, тому для них доступні більш ефективні методи виявлення.
«На ці пристрої можна встановити виявлення та реагування кінцевої точки (EDR) рішення, які можуть допомогти виявити такі атаки», – зазначає Ларін.
Він рекомендує командам безпеки регулярно оновлювати свою операційну систему, програми та антивірусне програмне забезпечення; виправити будь-які відомі вразливості; і надати своїм командам SOC доступ до найновіших даних про загрози.
«Впроваджуйте рішення EDR для виявлення на рівні кінцевих точок, розслідування та своєчасного усунення інцидентів, щодня перезавантажуйтесь, щоб порушити постійні інфекції, вимкніть iMessage і Facetime, щоб зменшити ризики експлойту без клацання миші, і негайно встановлюйте оновлення iOS для захисту від відомих уразливостей», — Ларін. додає.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
- : має
- :є
- : ні
- $UP
- 000
- 11
- 16
- 2019
- a
- МЕНЮ
- доступ
- За
- через
- актори
- Додатковий
- адресований
- Додає
- регулювати
- просунутий
- розширена постійна загроза
- проти
- спрямований
- дозволяє
- an
- аналіз
- та
- Інший
- антивірус
- антивірусне програмне забезпечення
- будь-який
- API
- додаток
- Apple
- застосування
- приблизно
- APT
- ЕСТЬ
- AS
- напад
- At
- атака
- нападки
- Authentication
- доступний
- знати
- резервне копіювання
- заснований
- BE
- було
- перед тим
- буття
- але
- by
- обходити
- покликання
- Кампанія
- CAN
- можливості
- обережно
- центральний
- ланцюг
- виклик
- хаос
- чіп
- ясно
- закрито
- код
- Комунікація
- щодо
- Турбота
- Конгрес
- зміст
- зміст
- контрастність
- контроль
- звичайний
- може
- вирішальне значення
- кібер-
- Кібершпигунство
- щодня
- глибше
- розгорнути
- робочий стіл
- деталі
- виявляти
- Виявлення
- пристрій
- прилади
- дипломати
- спрямований
- інвалід
- Зривати
- документований
- два
- Рано
- Ефективний
- піднесення
- вбудований
- підприємств
- ескалація
- Ефір (ETH)
- врешті-решт
- еволюціонує
- приклад
- Ексклюзивний курс
- виконувати
- Виконує
- виконання
- Здійснювати
- існуючий
- Пояснює
- Експлуатувати
- експлуатація
- FaceTime
- далеко
- особливість
- риси
- філе
- результати
- Перший
- після
- для
- Криміналістика
- форма
- чотири
- від
- Повний
- Функції
- майбутнє
- Отримувати
- Німеччина
- Глобальний
- великий
- Зростання
- Охорона
- було
- Гамбург
- Жорсткий
- апаратні засоби
- Мати
- he
- допомога
- виділивши
- житло
- HTTPS
- if
- здійснювати
- in
- інцидентів
- включені
- Інфекції
- початковий
- ініціювати
- ініціювання
- встановлювати
- установка
- Інтелект
- призначених
- складний
- дослідження
- невидимий
- iOS
- iPhone
- IT
- ЙОГО
- сам
- ITunes
- JavaScript
- JPG
- червень
- Kaspersky
- відомий
- ландшафт
- мова
- портативний комп'ютер
- останній
- шар
- шарів
- здавати
- рівень
- левередж
- використання
- бібліотека
- ліній
- MacOS
- made
- malicious
- відображення
- Може..
- заходи
- пам'ять
- методика
- Mobile
- більше
- найбільш
- множинний
- рідний
- природа
- мережу
- мережевий трафік
- Нові
- нове обладнання
- наступний
- nist
- зазначив,
- примітки
- численний
- об'єкт
- отримання
- of
- пропонує
- чиновників
- on
- тільки
- відкрити
- операційний
- операційна система
- операція
- or
- Інше
- над
- сторінка
- пластир
- виконувати
- виступає
- фізичний
- plato
- Інформація про дані Платона
- PlatoData
- відіграє
- це можливо
- можливо
- представлений
- подарунки
- раніше
- Головний
- принцип
- попередній
- недоторканність приватного життя
- Конфіденційність та безпека
- приватний
- привілей
- привілейовані
- привілеї
- процес
- Програмування
- захищений
- захист
- забезпечувати
- публічно
- насправді
- останній
- рекомендує
- зменшити
- райони
- регістри
- регулярно
- випущений
- віддалений
- звітом
- дослідження
- дослідник
- відповідь
- Risk
- ризики
- Роль
- корінь
- російський
- s
- Safari
- то ж
- говорить
- безпеку
- Заходи безпеки
- бачив
- селективний
- послати
- Послідовність
- значний
- з
- So
- Софтвер
- Рішення
- складний
- витонченість
- прольоти
- шпигунських програм
- Стажування
- етапи
- Крок
- структурований
- наступні
- успішний
- такі
- система
- Systems
- говорити
- цілі
- команда
- команди
- Тестування
- Що
- Команда
- Майбутнє
- їх
- потім
- Там.
- Ці
- вони
- це
- загроза
- інтелектуальна загроза
- загрози
- через
- своєчасно
- до
- трафік
- два
- створеного
- безпрецедентний
- Оновити
- Updates
- на
- використовуваний
- користувач
- користувачі
- використання
- використовувати
- перевірка
- Жертва
- Уразливості
- вразливість
- було
- we
- Web
- week
- ДОБРЕ
- коли
- який
- з
- в
- ще
- зефірнет