作为名为“三角行动”(OperationTriangulation)的活动的一部分,有关植入iOS设备的间谍软件的更多细节已经浮出水面。
卡巴斯基详解“三角行动”
卡巴斯基在今年年初成为目标之一后发现了该行动,并表示该恶意软件的生命周期为30天,之后它会自动卸载,除非攻击者延长时间。
这家俄罗斯网络安全公司将该后门命名为TriangleDB。
卡巴斯基研究人员在今天发布的一份新报告中说:“攻击者通过利用内核漏洞在目标iOS设备上获得root权限后,就会部署植入程序。”
“它部署在内存中,这意味着当设备重新启动时,植入程序的所有痕迹都会丢失。因此,如果受害者重新启动他们的设备,攻击者必须通过发送带有恶意附件的iMessage来重新感染它,从而再次启动整个利用链。”
Operation Triangulation需要通过iMessage平台使用零点击漏洞,从而允许间谍软件完全控制设备和用户数据。
卡巴斯基首席执行官尤金·卡巴斯基本月早些时候表示:“这次攻击是使用带有恶意附件的隐形iMessage进行的,该附件利用iOS操作系统中的多个漏洞,在设备上执行并安装间谍软件。”
“间谍软件的部署是完全隐藏的,不需要用户采取任何行动。”
用Objective-C编写的TriangleDB构成了隐蔽框架的核心。它被设计成与一个命令和控制(C2)服务器建立加密连接,并定期发送包含设备元数据的心跳信标。
就服务器而言,它使用24个命令之一响应心跳消息,这些命令可以转储iCloud钥匙串数据并在内存中加载其他Mach-O模块以收集敏感数据。
这包括文件内容、地理位置、已安装的iOS应用程序和正在运行的进程等。攻击链以擦除初始消息并掩盖踪迹而告终。
对源代码的仔细检查发现了一些不寻常的方面,其中恶意软件作者将字符串解密称为“unmunging”,并将数据库术语中的名称分配给文件(记录)、进程(模式)、C2服务器(数据库服务器)和地理位置信息(数据库状态)。
另一个值得注意的方面是例程“populateWithFieldsMacOSOnly”的存在。虽然在iOS植入程序中没有调用此方法,但命名约定也说明了TriangleDB也可以被武器化以针对macOS设备的可能性。
卡巴斯基研究人员表示:“植入程序向操作系统请求多种权利(权限)。”
“其中一些未在代码中使用,例如访问相机、麦克风和地址簿,或通过蓝牙与设备交互。因此,这些权利授予的功能可以在模块中实现。”
目前尚不清楚谁是这场运动的幕后黑手,他们的最终目标是什么。苹果此前在一份声明中表示,它“从未与任何政府合作在任何苹果产品中插入后门,也永远不会”。
然而,俄罗斯政府已将矛头指向美国,指责美国闯入属于国内用户和外国外交官的“数千台”苹果设备,这是它声称的侦察行动的一部分。
苹果公司发布紧急补丁
苹果公司周三为iOS、iPadOS、macOS、watchOS和Safari浏览器发布了一系列更新,以解决据称在野外被积极利用的一系列漏洞。
这包括一对0day漏洞,它们在自2019年以来一直活跃的名为“三角行动”的移动监控活动中被作为武器。该活动背后的确切威胁行为者尚不清楚。
CVE-2023-32434 - 内核中的一个整数溢出漏洞,可被恶意应用程序利用,以内核权限执行任意代码。
CVE-2023-32435 - WebKit中的一个内存损坏漏洞,在处理特制的网页内容时可能导致任意代码执行。
这家iPhone制造商表示,它知道这两个问题“可能已被积极利用,针对iOS15.7之前发布的iOS版本,”卡巴斯基研究人员Georgy Kucherin、Leonid Bezvershenko和Boris Larin报告了这些问题。
该通报发布之际,这家俄罗斯网络安全供应商正在剖析零点击攻击活动中使用的间谍软件植入程序,该攻击活动通过iMessages针对iOS设备进行攻击,其中包含嵌入远程代码执行(RCE)漏洞的附件。
该漏洞代码还被设计为下载额外的组件,以获得目标设备的root权限,之后后门被部署在内存中,最初的iMessage被删除,以掩盖感染痕迹。
这种复杂的植入程序称为TriangleDB,仅在内存中运行,在设备重新启动后不会留下任何活动痕迹。它还具有多种数据收集和跟踪功能。
这包括“与设备的文件系统交互(包括文件创建、修改、泄露和删除)、管理流程(列出和终止)、提取钥匙串项目以收集受害者凭证,以及监控受害者的地理位置等。”
Apple还修补了第三个0day漏洞CVE-2023-32439,该漏洞已被匿名报告,在处理恶意网页内容时可能会导致任意代码执行。
这个被积极利用的缺陷(被描述为类型混淆问题)已通过改进的检查得到解决。这些更新适用于以下平台:
iOS 16.5.1和iPadOS 16.5.1--iPhone 8及以后版本、iPad Pro(所有型号)、iPad Air第三代及以后版本、iPad第五代及以后版本、iPad mini第五代及以后版本
iOS 15.7.7和iPadOS 15.7.7 - iPhone 6s(所有型号)、iPhone 7(所有型号)、iPhone SE(第一代)、iPad Air 2、iPad mini(第四代)和iPod touch(第七代)。
macOS Ventura 13.4.1, macOS Monterey 12.6.7, and macOS Big Sur 11.7.8
watchOS 9.5.2 - Apple Watch Series 4及更高版本
watchOS 8.8.1 - Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7, and SE, and
Safari 16.5.1--运行macOS Monterey的Mac。
通过最新一轮的修复,苹果自今年年初以来已解决了其产品中总共九个零日漏洞。
今年2月,该公司堵塞了一个可能导致远程代码执行的WebKit缺陷(CVE-2023-23529)。4月,该公司发布更新,以解决两个允许以高权限执行代码的漏洞(CVE-2023-28205和CVE-2023-28206)。
随后,在5月,它为WebKit的另外三个漏洞(CVE-2023-32409、CVE-2023-28204和CVE-2023-32373)提供了补丁,这些漏洞可能允许威胁者逃脱沙盒保护,访问敏感数据,并执行任意代码。