iOS Sıfır Gün Saldırıları: Uzmanlar, Üçgenleme Operasyonu Hakkında Daha Derin İçgörüler Ortaya Çıkarıyor
Yeni bulgular, Üçgenleme Operasyonu olarak adlandırılan kampanyanın arkasındaki düşmanın, güvenliği ihlal edilmiş cihazlardan hassas bilgileri gizlice toplarken izlerini gizlemek ve örtbas etmek için ne kadar uzun sürdüğünü ayrıntılarıyla anlatan Kaspersky'den geliyor.
Apple iOS cihazlarını hedeflemek için kullanılan TriangleDB implantı, mikrofon kaydetmek, iCloud Anahtar Zinciri'ni çıkarmak, çeşitli uygulamalar tarafından kullanılan SQLite veritabanlarından veri çalmak ve kurbanın konumunu tahmin etmek için en az dört farklı modülde paketlenir.
Yeni bulgular, Üçgenleme Operasyonu olarak adlandırılan kampanyanın arkasındaki düşmanın, güvenliği ihlal edilmiş cihazlardan hassas bilgileri gizlice toplarken izlerini gizlemek ve örtbas etmek için ne kadar uzun sürdüğünü ayrıntılarıyla anlatan Kaspersky'den geliyor.
Gelişmiş saldırı ilk olarak Haziran 2023'te, iOS cihazlarının, cihaz ve kullanıcı verileri üzerinde tam kontrol sağlayabilen kötü amaçlı bir ek sunmak için iMessage platformundan yararlanan sıfır gün güvenlik açıklarını (CVE-2023-32434 ve CVE-2023-32435) silahlandıran bir sıfır tıklama istismarı tarafından hedef alındığı ortaya çıktığında ortaya çıktı.
Tehdit aktörünün ölçeği ve kimliği şu anda bilinmiyor, ancak Kaspersky'nin kendisi yılın başında hedeflerden biri haline geldi ve tam özellikli bir gelişmiş kalıcı tehdit (APT) platformu olduğunu söylediği şeyin çeşitli bileşenlerini araştırmasına neden oldu.
Saldırı çerçevesinin özü, saldırganların rastgele kod yürütmek için kötüye kullanılabilecek bir çekirdek güvenlik açığı olan CVE-2023-32434'ten yararlanarak hedef iOS cihazında kök ayrıcalıkları elde ettikten sonra dağıtılan TriangleDB adlı bir arka kapı oluşturur.
Şimdi, Rus siber güvenlik şirketine göre, implantın konuşlandırılmasından önce, hedef cihazın bir araştırma ortamıyla ilişkili olup olmadığını belirlemek için yürütülen JavaScript Doğrulayıcı ve İkili Doğrulayıcı olmak üzere iki doğrulayıcı aşaması var.
Kaspersky araştırmacıları Georgy Kucherin, Leonid Bezvershenko ve Valentin Pashkov, Pazartesi günü yayınlanan teknik bir raporda, "Bu doğrulayıcılar, kurban cihaz hakkında çeşitli bilgiler topluyor ve bunu C2 sunucusuna gönderiyor" dedi.
"Bu bilgi daha sonra TriangleDB ile implante edilecek iPhone veya iPad'in bir araştırma cihazı olup olmadığını değerlendirmek için kullanılır. Saldırganlar bu tür kontroller yaparak sıfırıncı gün açıklarının ve implantın yanmadığından emin olabilirler."
Arka plan olarak: Saldırı zincirinin başlangıç noktası, kurbanın aldığı görünmez bir iMessage ekidir ve bu, NaCl kriptografi kitaplığının gizlenmiş JavaScript kodunu ve şifreli bir yükü içeren benzersiz bir URL'yi gizlice açmak için tasarlanmış sıfır tıklamalı bir istismar zincirini tetikler.
Yük, çeşitli aritmetik işlemler gerçekleştirmenin ve Medya Kaynağı API'si ve WebAssembly'nin varlığını kontrol etmenin yanı sıra, WebGL ile pembe bir arka plan üzerine sarı bir üçgen çizerek ve sağlama toplamını hesaplayarak tuval parmak izi adı verilen bir tarayıcı parmak izi tekniği gerçekleştiren JavaScript Doğrulayıcısıdır.
Bu adımın ardından toplanan bilgiler, karşılığında bilinmeyen bir sonraki aşama kötü amaçlı yazılımını almak için uzak bir sunucuya iletilir. Ayrıca, bir dizi belirsiz adımdan sonra, aşağıdaki işlemleri gerçekleştiren bir Mach-O ikili dosyası olan bir İkili Doğrulayıcı da teslim edilir:
- Olası istismar izlerini silmek için /private/var/mobile/Library/Logs/CrashReporter dizininden kilitlenme günlüklerini kaldırın
- Saldırganların kontrolündeki 36 farklı Gmail, Outlook ve Yahoo e-posta adresinden gönderilen kötü amaçlı iMessage ekinin kanıtlarını silin
- Cihazda ve ağ arabirimlerinde çalışan işlemlerin bir listesini alın
- Hedef cihazın jailbreak'li olup olmadığını kontrol edin
- Kişiselleştirilmiş reklam izlemeyi etkinleştirme
- Cihaz hakkında bilgi toplayın (kullanıcı adı, telefon numarası, IMEI ve Apple Kimliği) ve
- Yüklü uygulamaların listesini alma
Araştırmacılar, "Bu eylemlerle ilgili ilginç olan şey, doğrulayıcının bunları hem iOS hem de macOS sistemleri için uygulamasıdır" dedi ve yukarıda belirtilen eylemlerin sonuçlarının şifrelendiğini ve TriangleDB implantını getirmek için bir komuta ve kontrol (C2) sunucusuna aktarıldığını da sözlerine ekledi.
Arka kapı tarafından atılan ilk adımlardan biri, C2 sunucusuyla iletişim kurmak ve bir sinyal göndermek, ardından adli izi örtbas etmek ve analizi engellemek için kilitlenme günlüğünü ve veritabanı dosyalarını silen komutlar almaktır.
Ayrıca implanta, konum, iCloud Anahtar Zinciri, SQL ile ilgili ve mikrofonla kaydedilmiş verileri içeren dosyaları /private/var/tmp dizininden düzenli olarak sızdırma talimatları da verilir.
Mikrofon kayıt modülünün dikkate değer bir özelliği, cihaz ekranı açıldığında ve pil %10'dan az şarj edildiğinde kaydı askıya alma yeteneğidir, bu da tehdit aktörünün radarın altında uçma niyetini gösterir.
Dahası, konum izleme modülü, GPS verileri mevcut olmadığında kurbanın konumunu üçgenlemek için mobil ülke kodu (MCC), mobil ağ kodu (MNC) ve konum alan kodu (LAC) gibi GSM verilerini kullanacak şekilde düzenlenmiştir.
Araştırmacılar, "Üçgenlemenin arkasındaki düşman, tespit edilmekten kaçınmak için büyük özen gösterdi" dedi. "Saldırganlar, saldırı sırasında özel belgelenmemiş API'ler kullandıkları için iOS'un dahili bilgilerini de çok iyi anladılar."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı