Het TriangleDB-implantaat dat wordt gebruikt om Apple iOS-apparaten te targeten, bevat ten minste vier verschillende modules om de microfoon op te nemen, iCloud-sleutelhanger te extraheren, gegevens te stelen uit SQLite-databases die door verschillende apps worden gebruikt en de locatie van het slachtoffer te schatten.
De nieuwe bevindingen zijn afkomstig van Kaspersky, die de grote moeite die de tegenstander achter de campagne heeft genoemd, gedetailleerd beschrijft Operatie Triangulatieging zijn sporen verbergen en verbergen terwijl hij clandestien gevoelige informatie van de gecompromitteerde apparaten ophaalde.
De geavanceerde aanval kwam voor het eerst aan het licht in juni 2023, toen bleek dat iOS-apparaten het doelwit waren van een zero-click-exploit die vervolgens zero-day-beveiligingsfouten bewapende (CVE-2023-32434 en CVE-2023-32435) die gebruik maakt van de iMessage-technologie. platform om een kwaadaardige bijlage af te leveren die volledige controle kan krijgen over het apparaat en de gebruikersgegevens.
De omvang en de identiteit van de bedreigingsactoren zijn momenteel onbekend, hoewel Kaspersky zelf begin dit jaar een van de doelwitten werd, wat het ertoe aanzette de verschillende componenten te onderzoeken van wat volgens hem een volledig uitgeruste geavanceerde persistente dreiging (APT) is. platform.
De kern van het aanvalsframework vormt een achterdeur genaamd TriangleDB die wordt ingezet nadat de aanvallers rootrechten op het iOS-doelapparaat hebben verkregen door misbruik te maken van CVE-2023-32434, een kernelkwetsbaarheid die kan worden misbruikt om willekeurige code uit te voeren.
Volgens het Russische cybersecuritybedrijf wordt de inzet van het implantaat nu voorafgegaan door twee validatorfasen, namelijk JavaScript Validator en Binary Validator, die worden uitgevoerd om te bepalen of het doelapparaat niet is gekoppeld aan een onderzoeksomgeving.
“Deze validators verzamelen verschillende informatie over het apparaat van het slachtoffer en sturen deze naar de C2-server”, zeiden Kaspersky-onderzoekers Georgy Kucherin, Leonid Bezvershenko en Valentin Pashkov in een technisch rapport dat maandag werd gepubliceerd.
“Deze informatie wordt vervolgens gebruikt om te beoordelen of de iPhone of iPad die met TriangleDB moet worden geïmplanteerd, een onderzoeksapparaat zou kunnen zijn. Door dergelijke controles uit te voeren, kunnen aanvallers ervoor zorgen dat hun zero-day-exploits en het implantaat niet worden verbrand.”
Ter achtergrond: het startpunt van de aanvalsketen is een onzichtbare iMessage-bijlage die een slachtoffer ontvangt, die een zero-click-exploitketen activeert die is ontworpen om heimelijk een unieke URL te openen die verborgen JavaScript-code van de NaCl-cryptografiebibliotheek bevat, evenals een gecodeerde lading.
De payload is de JavaScript Validator die, naast het uitvoeren van verschillende rekenkundige bewerkingen en het controleren op de aanwezigheid van Media Source API en WebAssembly, een browservingerafdruktechniek uitvoert, genaamd canvasfingerprinting, door met WebGL een gele driehoek op een roze achtergrond te tekenen en de controlesom ervan te berekenen.
De informatie die na deze stap wordt verzameld, wordt naar een externe server verzonden om in ruil daarvoor onbekende malware in de volgende fase te ontvangen. Ook geleverd na een succesvolle exploitatie van de WebKit en kernel-exploits is een Binary Validator, een binair Mach-O-bestand dat de onderstaande bewerkingen uitvoert:
- Verwijder crashlogboeken uit de directory /private/var/mobile/Library/Logs/CrashReporter om sporen van mogelijk misbruik te wissen
- Verwijder het bewijs van de kwaadaardige iMessage-bijlage die is verzonden vanaf 36 verschillende door aanvallers beheerde Gmail-, Outlook- en Yahoo-e-mailadressen
- Verkrijg een lijst met processen die op het apparaat en de netwerkinterfaces worden uitgevoerd
- Controleer of het doelapparaat gejailbreakt is
- Schakel gepersonaliseerde advertentietracking in
- Verzamel informatie over het apparaat (gebruikersnaam, telefoonnummer, IMEI en Apple ID), en
- Haal een lijst met geïnstalleerde apps op
“Wat interessant is aan deze acties is dat de validator ze zowel voor iOS- als macOS-systemen implementeert”, aldus de onderzoekers, eraan toevoegend dat de resultaten van de bovengenoemde acties worden gecodeerd en naar een command-and-control (C2)-server worden geëxfiltreerd om de gegevens op te halen. TriangleDB-implantaat.
Een van de allereerste stappen die de achterdeur zet, is het tot stand brengen van communicatie met de C2-server en het verzenden van een hartslag, waarna opdrachten worden ontvangen die crashlog- en databasebestanden verwijderen om het forensische spoor te verdoezelen en analyse te belemmeren.
Ook aan het implantaat zijn instructies gegeven om periodiek bestanden uit de map /private/var/tmp te exfiltreren die locatie-, iCloud-sleutelhanger-, SQL-gerelateerde en microfoon-opgenomen gegevens bevatten.
Een opvallend kenmerk van de microfoonopnamemodule is de mogelijkheid om de opname te onderbreken wanneer het scherm van het apparaat is ingeschakeld en als de batterij minder dan 10% is opgeladen, wat aangeeft dat de bedreigingsacteur van plan is onder de radar te vliegen.
Bovendien is de locatiebewakingsmodule zo georkestreerd dat hij GSM-gegevens gebruikt, zoals mobiele landcode (MCC), mobiele netwerkcode (MNC) en locatiegebiedcode (LAC), om de locatie van het slachtoffer te trianguleren wanneer GPS-gegevens niet beschikbaar zijn. .
“De tegenstander achter Triangulation heeft er alles aan gedaan om detectie te voorkomen”, aldus de onderzoekers. “De aanvallers toonden ook een goed begrip van de interne functies van iOS, omdat ze tijdens de aanval ongedocumenteerde privé-API’s gebruikten.”
Update:
Op 25 oktober 2023 breidde Apple patches voor de kernelbeveiligingsfout uit naar oudere apparaten als onderdeel van iOS 15.8- en iPadOS 15.8-updates, waarbij werd opgemerkt dat het probleem mogelijk actief is uitgebuit tegen versies van iOS die vóór iOS 15.7 zijn uitgebracht.
(Het verhaal is na publicatie op 27 oktober 2023 bijgewerkt met nieuwe informatie die door Kaspersky is gepubliceerd over de campagne en Apple’s release van oplossingen voor oudere apparaten.)
