Эксперты «Лаборатории Касперского» выяснили, как атакующие собирали данные жертв в ходе кампании «Операция Триангуляция». Для этого они использовали шпионский имплант, получивший название TriangleDB. Это вредоносное ПО предоставляет злоумышленникам возможности скрытого наблюдения и работает исключительно в памяти устройства, поэтому все следы его работы удаляются при перезагрузке устройства.
Эксперты выяснили, что имплант TriangleDB внедряется после успешной эксплуатации уязвимости ядра для получения привилегий суперпользователя на целевом устройстве iOS. После развёртывания он работает исключительно в памяти устройства, поэтому следы заражения исчезают после перезагрузки устройства. Если жертва перезагружает устройство, злоумышленнику необходимо повторно заразить его, отправив заново iMessage с вредоносным вложением. Таким образом весь процесс эксплуатации запускается заново. Если перезагрузка не произойдёт, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок. TriangleDB — это сложное шпионское ПО, которое содержит широкий спектр функций по сбору данных и мониторингу.
Всего этот зловред может выполнять 24 команды. Они позволяют злоумышленникам запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы связки ключей для сбора учётных данных и вести мониторинг геолокации жертвы.
Анализируя TriangleDB, эксперты «Лаборатории Касперского» обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на macOS.
Анализируя эту атаку, мы обнаружили сложный имплант для iOS, у которого много примечательных особенностей. Мы продолжаем своё исследование и будем держать в курсе наших новых находок об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности объединиться для обмена знаниями и сотрудничества, чтобы получить более чёткую картину существующих угроз.
Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы минимизировать риски целевых кибератак, «Лаборатория Касперского» рекомендует компаниям:
- для обнаружения, расследования и своевременного устранения инцидентов на уровне конечных точек используйте надёжное защитное решение для бизнеса, такое как Kaspersky Unified Monitoring and Analysis Platform (KUMA);
- обновляйте операционную систему Windows и любое стороннее программное обеспечение оперативно и регулярно;
- предоставьте вашей команде SOC доступ к актуальной информации об угрозах (TI). Kaspersky Threat Intelligence — это единая точка доступа, предоставляющая данные о кибератаках и информацию, собранную «Лабораторией Касперского» более чем за 25 лет;
- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, проводите тренинги по безопасности, например с помощью Kaspersky Automated Security Awareness Platform.
Более подробно о шпионском импланте TriangleDB можно прочитать на https://securelist.ru/triangledb-triangulation-implant/107612/.