'آپریشن ٹرائینگولیشن' اسپائی ویئر حملہ آور آئی فون میموری پروٹیکشن کو نظرانداز کرتے ہیں۔

'آپریشن ٹرائینگولیشن' اسپائی ویئر حملہ آور آئی فون میموری پروٹیکشن کو نظرانداز کرتے ہیں۔

ٹائم سٹیمپ: 29 دسمبر 2023 11:17 AM
ماخذ نوڈ: 3040038

ایپل کے آئی فون سسٹم آن اے چپ (ایس او سی) کے اندر پہلے سے غیر دستاویزی ہارڈ ویئر کی خصوصیت متعدد کمزوریوں کے استحصال کی اجازت دیتی ہے، آخر کار حملہ آوروں کو ہارڈ ویئر پر مبنی میموری پروٹیکشن کو نظرانداز کرنے دیتی ہے۔

ایک کے مطابق، کمزوری جدید ترین ایڈوانس پرسسٹنٹ تھریٹ (APT) "آپریشن ٹرائینگولیشن" صفر کلک مہم میں مرکزی کردار ادا کرتی ہے۔ رپورٹ کاسپرسکی کی عالمی تحقیق اور تجزیہ ٹیم (گری اے ٹی) سے۔

۔ آپریشن ٹرائنگولیشن iOS سائبر جاسوسی مہم 2019 سے موجود ہے اور آئی فونز میں حفاظتی اقدامات کو نظرانداز کرنے کے لیے صفر دن کے طور پر متعدد خطرات کا استعمال کیا ہے، جس سے صارفین کی رازداری اور سلامتی کو مستقل خطرہ لاحق ہے۔ اہداف میں روسی سفارت کار اور وہاں کے دیگر حکام کے ساتھ ساتھ کاسپرسکی جیسے نجی ادارے بھی شامل ہیں۔

جون میں، کاسپرسکی نے ایک جاری کیا۔ رپورٹ مہم میں استعمال ہونے والے TriangleDB اسپائی ویئر امپلانٹ پر اضافی تفصیلات پیش کرنا، متعدد منفرد صلاحیتوں کو اجاگر کرنا، مثال کے طور پر معذور خصوصیات جو مستقبل میں تعینات کی جا سکتی ہیں۔

اس ہفتے، ٹیم نے جرمنی کے شہر ہیمبرگ میں 37ویں کیوس کمیونیکیشن کانگریس میں اپنی تازہ ترین دریافتیں پیش کیں، اور اسے "سب سے نفیس حملے کا سلسلہ" قرار دیا جسے انھوں نے ابھی تک آپریشن میں استعمال ہوتے دیکھا تھا۔

زیرو کلک حملہ آئی فون کی iMessage ایپ پر ہے، جس کا مقصد iOS 16.2 تک کے iOS ورژن ہیں۔ جب اسے پہلی بار دیکھا گیا تھا، یہ حملے کی پیچیدہ ساختی تہوں کے ساتھ چار صفر دنوں کا استحصال کر رہا تھا۔

'آپریشن ٹرائنگولیشن' زیرو-کلک موبائل اٹیک کے اندر

حملہ معصومانہ طور پر شروع ہوتا ہے کیونکہ بدنیتی پر مبنی اداکار ریموٹ کوڈ ایگزیکیوشن (RCE) کے خطرے سے فائدہ اٹھاتے ہوئے ایک iMessage اٹیچمنٹ بھیجتے ہیں۔ CVE-2023-41990.

یہ استحصال غیر دستاویزی ADJUST TrueType فونٹ ہدایات کو نشانہ بناتا ہے جو صرف Apple کے لیے ہے، جو کہ نوے کی دہائی کے اوائل سے بعد کے پیچ سے پہلے موجود ہے۔

اس کے بعد حملے کا سلسلہ جاوا اسکرپٹ کور لائبریری میں ہیرا پھیری کرنے کے لیے ریٹرن/جمپ اورینٹڈ پروگرامنگ اور NSExpression/NSP پریڈیکیٹ استفسار کی زبان کے مراحل کو مزید گہرائی میں لے جاتا ہے۔

حملہ آوروں نے جاوا اسکرپٹ میں ایک مراعات یافتہ اضافے کے استحصال کو سرایت کیا ہے، اس کے مواد کو چھپانے کے لیے احتیاط سے مبہم کیا گیا ہے، جو کوڈ کی تقریباً 11,000 لائنوں پر محیط ہے۔

یہ پیچیدہ JavaScript JavaScriptCore کی میموری کے ذریعے ہتھکنڈوں کا استحصال کرتا ہے اور JavaScriptCore ڈیبگنگ فیچر DollarVM ($vm) کا استحصال کرکے مقامی API افعال کو انجام دیتا ہے۔

بطور انٹیجر اوور فلو خطرے کا پتہ لگانا CVE-2023-32434 XNU کی میموری میپنگ سیسکال کے اندر، حملہ آور پھر صارف کی سطح پر ڈیوائس کی فزیکل میموری تک بے مثال پڑھنے/لکھنے تک رسائی حاصل کرتے ہیں۔

مزید برآں، وہ ہارڈ ویئر میموری میپڈ I/O (MMIO) رجسٹروں کا استعمال کرتے ہوئے پیج پروٹیکشن لیئر (PPL) کو بخوبی نظرانداز کرتے ہیں، جو کہ خطرے سے متعلق ہے۔ آپریشن ٹرائینگولیشن گروپ کے ذریعہ صفر دن کے طور پر فائدہ اٹھایا گیا۔ لیکن آخر میں کے طور پر خطاب کیا CVE-2023-38606 ایپل کی طرف سے.

آلہ کے دفاع میں گھسنے پر، حملہ آور IMAgent کے عمل کو شروع کرکے، کسی بھی استحصال کے نشانات کو صاف کرنے کے لیے پے لوڈ کو انجیکشن لگا کر انتخابی کنٹرول کا استعمال کرتے ہیں۔

اس کے بعد، وہ ایک پوشیدہ سفاری عمل کا آغاز کرتے ہیں جسے استحصال کے اگلے مرحلے میں ایک ویب صفحہ پر ری ڈائریکٹ کیا جاتا ہے۔

ویب صفحہ شکار کی تصدیق کرتا ہے اور، کامیاب تصدیق کے بعد، سفاری کے استحصال کو متحرک کرتا ہے، CVE-2023-32435 شیل کوڈ پر عمل کرنے کے لیے۔

یہ شیل کوڈ ماچ آبجیکٹ فائل کی شکل میں ایک اور کرنل ایکسپلائٹ کو چالو کرتا ہے، جو پہلے کے مراحل میں استعمال ہونے والے ایک ہی CVE میں سے دو کا فائدہ اٹھاتا ہے (CVE-2023-32434 اور CVE-2023-38606)۔

ایک بار جڑ کی مراعات حاصل کرنے کے بعد، حملہ آور اضافی مراحل طے کرتے ہیں، آخر کار اسپائی ویئر انسٹال کرتے ہیں۔

آئی فون سائبرٹیکس میں بڑھتی ہوئی نفاست

رپورٹ میں نوٹ کیا گیا کہ پیچیدہ، ملٹی اسٹیج حملہ نفاست کی بے مثال سطح پیش کرتا ہے، جس سے iOS آلات پر مختلف کمزوریوں کا فائدہ اٹھایا جاتا ہے اور سائبر خطرات کے بڑھتے ہوئے منظر نامے پر خدشات بڑھ جاتے ہیں۔

بورس لارین، پرنسپل سیکیورٹی ریسرچر کاسپرسکی، وضاحت کرتے ہیں کہ ہارڈ ویئر کی نئی کمزوری ممکنہ طور پر "غیر مبہمیت کے ذریعے سیکیورٹی" کے اصول پر مبنی ہے اور اس کا مقصد جانچ یا ڈیبگنگ کے لیے کیا گیا ہے۔

"ابتدائی زیرو کلک iMessage حملے اور اس کے بعد استحقاق میں اضافے کے بعد، حملہ آوروں نے ہارڈ ویئر پر مبنی حفاظتی تحفظات کو نظرانداز کرنے اور محفوظ میموری والے علاقوں کے مواد میں ہیرا پھیری کرنے کے لیے اس فیچر کا فائدہ اٹھایا،" وہ کہتے ہیں۔ "یہ قدم آلہ پر مکمل کنٹرول حاصل کرنے کے لیے اہم تھا۔"

انہوں نے مزید کہا کہ جہاں تک کاسپرسکی ٹیم کو معلوم ہے، اس خصوصیت کو عوامی طور پر دستاویزی شکل نہیں دی گئی تھی، اور اسے فرم ویئر نے استعمال نہیں کیا تھا، جو روایتی حفاظتی طریقوں کا استعمال کرتے ہوئے اس کی کھوج اور تجزیہ میں ایک اہم چیلنج پیش کرتا ہے۔

لارین کا کہنا ہے کہ "اگر ہم iOS آلات کے بارے میں بات کر رہے ہیں، تو ان سسٹمز کی بند نوعیت کی وجہ سے، ایسے حملوں کا پتہ لگانا واقعی مشکل ہے۔" "ان کے لیے دستیاب صرف پتہ لگانے کے طریقے نیٹ ورک ٹریفک کا تجزیہ اور آئی ٹیونز کے ساتھ بنائے گئے ڈیوائس بیک اپ کا فرانزک تجزیہ کرنا ہے۔"

وہ بتاتے ہیں کہ اس کے برعکس، ڈیسک ٹاپ اور لیپ ٹاپ میک او ایس سسٹم زیادہ کھلے ہیں اور اس لیے ان کے لیے زیادہ مؤثر طریقے دستیاب ہیں۔

"ان آلات پر انسٹال کرنا ممکن ہے۔ اختتامی نقطہ کا پتہ لگانے اور جواب (EDR) ایسے حل جو اس طرح کے حملوں کا پتہ لگانے میں مدد کر سکتے ہیں،" لارین نوٹ کرتی ہے۔

وہ تجویز کرتا ہے کہ سیکیورٹی ٹیمیں اپنے آپریٹنگ سسٹم، ایپلی کیشنز، اور اینٹی وائرس سافٹ ویئر کو باقاعدگی سے اپ ڈیٹ کریں۔ کسی بھی معلوم کمزوریوں کو ٹھیک کرنا؛ اور اپنی SOC ٹیموں کو خطرے کی تازہ ترین انٹیلی جنس تک رسائی فراہم کریں۔

"اینڈ پوائنٹ لیول کا پتہ لگانے، تحقیقات، اور واقعات کے بروقت تدارک کے لیے EDR سلوشنز کو نافذ کریں، مسلسل انفیکشنز میں خلل ڈالنے کے لیے روزانہ ریبوٹ کریں، iMessage اور Facetime کو غیر فعال کریں تاکہ صفر کلک کے استحصال کے خطرات کو کم کیا جا سکے، اور معلوم خطرات سے بچنے کے لیے فوری طور پر iOS اپ ڈیٹس انسٹال کریں،" لارین شامل کرتا ہے

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا