-
![[image]](https://www.balancer.ru/cache/sites/org/hs/hsto/r/w1560/webt/o8/0h/mc/128x128-crop/o80hmcxkokybmovtfcmb1fsipiq.png)
бэкдоры и эксплойты в Apple
Теги:
Bredonosec
для затравки:
Что говорит «Лаборатория Касперского»
По словам экспертов компании, они выявили подозрительную активность в собственной сети Wi-Fi. Атаку назвали «Операция Триангуляция».
Заражение происходило через сообщение в iMessage с приложенным файлом, содержащим эксплойт. Он активируется самостоятельно без необходимости действий пользователя. Сообщение автоматически удаляется после заражения.
Далее вредоносный код соединяется с сервером управления и последовательно загружает несколько «ступеней» вредоносной программы, включая дополнительные эксплойты для повышения привилегий. В итоге на iPhone оказывается платформа, способная собирать и отправлять данные. По крайней мере, это актуально до следующей перезагрузки. Прописаться в постоянной памяти устройства эксплойт не может из-за ограничений iOS.
Шпионское ПО незаметно передаёт информацию с гаджета жертвы на удалённый сервер. Речь про записи с микрофонов, фотографии из мессенджеров, геолокацию и сведения о других действиях владельца взломанного айфона. Волна заражений началась как минимум в 2019 году, эксплойт способен атаковать iOS 15.7 и более старые версии системы.
https://4pda.to/s/QMRwM8G9z2uIaEjJ7OABvPvkMoc36CRehz0kiI.jpg [Image access forbidden: 403]
Атаку можно отследить по косвенным признакам:
Обращение к серверам, отвечающим за сервис iMessage; обычно это доменные имена *.ess.apple.com.
Загрузка вложения iMessage — соединение и входящий трафик с поддоменов .icloud-content.com, content.icloud.com.
Множественные соединения и значительный объём исходящего трафика на серверы управления вредоносной платформы. Как правило, при каждой попытке заражения используется пара доменов. Список выявленных доменов серверов:
addatamarket[.]net;
backuprabbit[.]com;
businessvideonews[.]com;
cloudsponcer[.]com;
datamarketplace[.]net;
mobilegamerstats[.]com;
snoweeanalytics[.]com;
tagclick-cdn[.]com;
topographyupdates[.]com;
unlimitedteacup[.]com;
virtuallaughing[.]com;
web-trackers[.]com;
growthtransport[.]com;
anstv[.]net;
ans7tv[.]net.
«Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является „чёрным ящиком“, в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище», — заявил Евгений Касперский, глава «Лаборатории Касперского».
Что говорит Купертино
Заявление «яблочной» корпорации опубликовало издание Reuters. Apple отрицает, что устанавливала бэкдоры для какого-либо правительства в своих продуктах.
Что говорит «Лаборатория Касперского»
По словам экспертов компании, они выявили подозрительную активность в собственной сети Wi-Fi. Атаку назвали «Операция Триангуляция».
Заражение происходило через сообщение в iMessage с приложенным файлом, содержащим эксплойт. Он активируется самостоятельно без необходимости действий пользователя. Сообщение автоматически удаляется после заражения.
Далее вредоносный код соединяется с сервером управления и последовательно загружает несколько «ступеней» вредоносной программы, включая дополнительные эксплойты для повышения привилегий. В итоге на iPhone оказывается платформа, способная собирать и отправлять данные. По крайней мере, это актуально до следующей перезагрузки. Прописаться в постоянной памяти устройства эксплойт не может из-за ограничений iOS.
Шпионское ПО незаметно передаёт информацию с гаджета жертвы на удалённый сервер. Речь про записи с микрофонов, фотографии из мессенджеров, геолокацию и сведения о других действиях владельца взломанного айфона. Волна заражений началась как минимум в 2019 году, эксплойт способен атаковать iOS 15.7 и более старые версии системы.
https://4pda.to/s/QMRwM8G9z2uIaEjJ7OABvPvkMoc36CRehz0kiI.jpg [Image access forbidden: 403]
Атаку можно отследить по косвенным признакам:
Обращение к серверам, отвечающим за сервис iMessage; обычно это доменные имена *.ess.apple.com.
Загрузка вложения iMessage — соединение и входящий трафик с поддоменов .icloud-content.com, content.icloud.com.
Множественные соединения и значительный объём исходящего трафика на серверы управления вредоносной платформы. Как правило, при каждой попытке заражения используется пара доменов. Список выявленных доменов серверов:
addatamarket[.]net;
backuprabbit[.]com;
businessvideonews[.]com;
cloudsponcer[.]com;
datamarketplace[.]net;
mobilegamerstats[.]com;
snoweeanalytics[.]com;
tagclick-cdn[.]com;
topographyupdates[.]com;
unlimitedteacup[.]com;
virtuallaughing[.]com;
web-trackers[.]com;
growthtransport[.]com;
anstv[.]net;
ans7tv[.]net.
«Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является „чёрным ящиком“, в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище», — заявил Евгений Касперский, глава «Лаборатории Касперского».
Что говорит Купертино
Заявление «яблочной» корпорации опубликовало издание Reuters. Apple отрицает, что устанавливала бэкдоры для какого-либо правительства в своих продуктах.
инфо
инструменты
Bredonosec> По словам экспертов компании, они выявили подозрительную активность в собственной сети Wi-Fi. Атаку назвали «Операция Триангуляция».
1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция». Отчет можно считать предварительным — он дает только общие сведения о процессе атаки. Кроме того, в тексте подробно перечислены индикаторы компрометации, позволяющие другим компаниям и исследователям найти зараженные устройства: доменные имена, к которым обращается вредоносное программное обеспечение, характерные сетевые запросы. Последние предлагается анализировать по двум сценариям: по логам активности на самом устройстве (точнее, после анализа резервной копии) и по перехватам трафика в сетевом окружении.
Атаку обнаружили благодаря SIEM-системе KUMA: с ее помощью был зафиксирован подозрительный трафик в корпоративной сети Wi-Fi. Как и другие целевые атаки на устройства Apple, «Триангуляция» начинается с отправки сообщения в мессенджере iMessage. Сообщение задействует уязвимость в iOS, что позволяет выполнить произвольный код. Каких-либо действий со стороны владельца устройства не требуется: вредоносный код выполняется автоматически и незаметно для пользователя.
Вредоносная программа связывается с командным сервером и последовательно загружает следующие элементы, включая ряд дополнительных эксплойтов для повышения привилегий. После успешной подготовки устройства запускается основная нагрузка. Ее особенности и поведение в первой публикации не описаны, кроме того факта, что с зараженных устройств исходит аномально большой поток данных. Первоначальное сообщение удаляется в процессе установки.
Представляет интерес и приведенный в публикации экспертов «Лаборатории Касперского» метод анализа зараженных устройств. На самом iPhone это сделать невозможно из-за закрытости платформы Apple. Специалисты воспользовались инструментом Mobile Verification Toolkit, который анализирует резервную копию смартфона. Данная программа позволила восстановить последовательность действий вредоносной программы — например, по временным меткам определенных файлов и записям в базах данных. Такой анализ бэкапа позволяет однозначно установить, что устройство было скомпрометировано. Это возможно даже в том случае, если владелец сменил смартфон, но перенес на новое устройство данные со старого.
Впрочем, уже 2 июня эксперты написали и выпустили утилиту для автоматизации поиска следов заражения в бэкапах устройств Apple — triangle_check. Бинарные сборки для проверки под Windows и Linux доступны на GitHub, а для сканирования резервных копий на macOS придется установить Python-пакет.
Один из характерных признаков компрометации — сетевая активность приложения BackupAgent: это устаревшее ПО, которое в современных версиях iOS не используется (а вот активность приложения BackupAgent2 к взлому как раз не имеет отношения). В логах, полученных в результате анализа резервной копии, активность BackupAgent, как правило, предваряется строками с упоминанием процесса IMTransferAgent, который отвечает за скачивание вложений (в данном случае — с эксплойтом), а также информацией об изменениях в директории Library/SMS/Attachments. Пример вредоносной активности выглядит так:
2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 127) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 76281896.0, WWAN OUT: 100956502.0
2022-09-13 10:04:54.000000Z Manifest Library/SMS/Attachments/65/05 - MediaDomain
2022-09-13 10:05:14.744570Z Datausage BackupAgent (Bundle ID: , ID: 710) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 734459.0, WWAN OUT: 287912.0
Обнаружить зараженное устройство можно и при помощи анализа сетевого трафика с него (что и произошло изначально в ходе расследования). На скриншоте в начале статьи показан пример трафика, проанализированного в программе Wireshark. К вредоносной активности в данном случае относится как соединение с командными центрами, так обращения к обычным серверам Apple, являющиеся, судя по всему, побочным эффектом от работы вредоносного кода.
«Триангуляция» работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений iOS. Впрочем, исследователи предполагают, что способ восстановить работу вредоносного кода после перезагрузки все же имеется. По известным временным меткам самую раннюю активность, связанную с данной кампанией, можно датировать 2019 годом. Наиболее свежая версия iOS на обнаруженных зараженных устройствах — 15.7. Актуальная версия iOS — 16-я — выпущена в сентябре прошлого года. Относительно старая версия ОС на зараженных устройствах объясняется не нежеланием владельцев обновляться, а тем, что вредоносный код блокирует установку обновлений. Соответственно, косвенный признак заражения — это ошибка при попытке обновить ОС: «Software Update Failed. An error ocurred downloading iOS».
Этот отчет по атаке — не последняя публикация: исследователи «Лаборатории Касперского» продолжают анализ вредоносного кода. Пока можно лишь говорить о том, что эта атака крайне сложная: в ней используется несколько уязвимостей iOS, в результате чего вредоносный код получает на устройстве привилегии суперпользователя.
Что еще произошло
Специалисты Microsoft нашли серьезную уязвимость в операционной системе MacOS (оригинальный отчет, новость на Хабре). Уязвимость позволяет обойти систему защиты целостности, известную как System Integrity Protection. В нормальной ситуации SIP в принципе не дает изменять некоторые системные файлы и папки. Но нашелся способ обойти это ограничение при помощи утилиты macOS Migration Assistant.
Критические уязвимости в брандмауэрах Zyxel активно эксплуатируют злоумышленники. Соответствующее предупреждение на прошлой неделе опубликовало американское агентство CISA. Речь идет об уязвимостях, обнаруженных в апреле этого года, включая наиболее серьезную проблему CVE-2023-28771. В устройствах ZyWall и ряде других она позволяет удаленно выполнить произвольные системные команды.
Исследователи обнаружили уязвимость в популярном плагине Gravity Forms для Wordpress. В версиях плагина 2.73 и более ранних найден способ проведения PHP-инъекций в формах для заполнения.
Security Week 2323: целевая атака на устройства под управлением iOS
1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция... // habr.com
Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства
Эксперты "Лаборатории Касперского" обнаружили новую APT-атаку, нацеленную на устройства под управлением iOS. Мы называем ее "Операция Триангуляция" (Operation Triangulation). // securelist.ru1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция». Отчет можно считать предварительным — он дает только общие сведения о процессе атаки. Кроме того, в тексте подробно перечислены индикаторы компрометации, позволяющие другим компаниям и исследователям найти зараженные устройства: доменные имена, к которым обращается вредоносное программное обеспечение, характерные сетевые запросы. Последние предлагается анализировать по двум сценариям: по логам активности на самом устройстве (точнее, после анализа резервной копии) и по перехватам трафика в сетевом окружении.
Атаку обнаружили благодаря SIEM-системе KUMA: с ее помощью был зафиксирован подозрительный трафик в корпоративной сети Wi-Fi. Как и другие целевые атаки на устройства Apple, «Триангуляция» начинается с отправки сообщения в мессенджере iMessage. Сообщение задействует уязвимость в iOS, что позволяет выполнить произвольный код. Каких-либо действий со стороны владельца устройства не требуется: вредоносный код выполняется автоматически и незаметно для пользователя.
Вредоносная программа связывается с командным сервером и последовательно загружает следующие элементы, включая ряд дополнительных эксплойтов для повышения привилегий. После успешной подготовки устройства запускается основная нагрузка. Ее особенности и поведение в первой публикации не описаны, кроме того факта, что с зараженных устройств исходит аномально большой поток данных. Первоначальное сообщение удаляется в процессе установки.
Представляет интерес и приведенный в публикации экспертов «Лаборатории Касперского» метод анализа зараженных устройств. На самом iPhone это сделать невозможно из-за закрытости платформы Apple. Специалисты воспользовались инструментом Mobile Verification Toolkit, который анализирует резервную копию смартфона. Данная программа позволила восстановить последовательность действий вредоносной программы — например, по временным меткам определенных файлов и записям в базах данных. Такой анализ бэкапа позволяет однозначно установить, что устройство было скомпрометировано. Это возможно даже в том случае, если владелец сменил смартфон, но перенес на новое устройство данные со старого.
Впрочем, уже 2 июня эксперты написали и выпустили утилиту для автоматизации поиска следов заражения в бэкапах устройств Apple — triangle_check. Бинарные сборки для проверки под Windows и Linux доступны на GitHub, а для сканирования резервных копий на macOS придется установить Python-пакет.
Один из характерных признаков компрометации — сетевая активность приложения BackupAgent: это устаревшее ПО, которое в современных версиях iOS не используется (а вот активность приложения BackupAgent2 к взлому как раз не имеет отношения). В логах, полученных в результате анализа резервной копии, активность BackupAgent, как правило, предваряется строками с упоминанием процесса IMTransferAgent, который отвечает за скачивание вложений (в данном случае — с эксплойтом), а также информацией об изменениях в директории Library/SMS/Attachments. Пример вредоносной активности выглядит так:
2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 127) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 76281896.0, WWAN OUT: 100956502.0
2022-09-13 10:04:54.000000Z Manifest Library/SMS/Attachments/65/05 - MediaDomain
2022-09-13 10:05:14.744570Z Datausage BackupAgent (Bundle ID: , ID: 710) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 734459.0, WWAN OUT: 287912.0
Обнаружить зараженное устройство можно и при помощи анализа сетевого трафика с него (что и произошло изначально в ходе расследования). На скриншоте в начале статьи показан пример трафика, проанализированного в программе Wireshark. К вредоносной активности в данном случае относится как соединение с командными центрами, так обращения к обычным серверам Apple, являющиеся, судя по всему, побочным эффектом от работы вредоносного кода.
«Триангуляция» работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений iOS. Впрочем, исследователи предполагают, что способ восстановить работу вредоносного кода после перезагрузки все же имеется. По известным временным меткам самую раннюю активность, связанную с данной кампанией, можно датировать 2019 годом. Наиболее свежая версия iOS на обнаруженных зараженных устройствах — 15.7. Актуальная версия iOS — 16-я — выпущена в сентябре прошлого года. Относительно старая версия ОС на зараженных устройствах объясняется не нежеланием владельцев обновляться, а тем, что вредоносный код блокирует установку обновлений. Соответственно, косвенный признак заражения — это ошибка при попытке обновить ОС: «Software Update Failed. An error ocurred downloading iOS».
Этот отчет по атаке — не последняя публикация: исследователи «Лаборатории Касперского» продолжают анализ вредоносного кода. Пока можно лишь говорить о том, что эта атака крайне сложная: в ней используется несколько уязвимостей iOS, в результате чего вредоносный код получает на устройстве привилегии суперпользователя.
Что еще произошло
Специалисты Microsoft нашли серьезную уязвимость в операционной системе MacOS (оригинальный отчет, новость на Хабре). Уязвимость позволяет обойти систему защиты целостности, известную как System Integrity Protection. В нормальной ситуации SIP в принципе не дает изменять некоторые системные файлы и папки. Но нашелся способ обойти это ограничение при помощи утилиты macOS Migration Assistant.
Критические уязвимости в брандмауэрах Zyxel активно эксплуатируют злоумышленники. Соответствующее предупреждение на прошлой неделе опубликовало американское агентство CISA. Речь идет об уязвимостях, обнаруженных в апреле этого года, включая наиболее серьезную проблему CVE-2023-28771. В устройствах ZyWall и ряде других она позволяет удаленно выполнить произвольные системные команды.
Исследователи обнаружили уязвимость в популярном плагине Gravity Forms для Wordpress. В версиях плагина 2.73 и более ранних найден способ проведения PHP-инъекций в формах для заполнения.
Copyright © Balancer 1997..2023
Создано 02.06.2023
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 02.06.2023
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
