1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция». Отчет можно считать предварительным — он дает только общие сведения о процессе атаки. Кроме того, в тексте подробно перечислены индикаторы компрометации, позволяющие другим компаниям и исследователям найти зараженные устройства: доменные имена, к которым обращается вредоносное программное обеспечение, характерные сетевые запросы. Последние предлагается анализировать по двум сценариям: по логам активности на самом устройстве (точнее, после анализа резервной копии) и по перехватам трафика в сетевом окружении.


Атаку обнаружили благодаря SIEM-системе KUMA: с ее помощью был зафиксирован подозрительный трафик в корпоративной сети Wi-Fi. Как и другие целевые атаки на устройства Apple, «Триангуляция» начинается с отправки сообщения в мессенджере iMessage. Сообщение задействует уязвимость в iOS, что позволяет выполнить произвольный код. Каких-либо действий со стороны владельца устройства не требуется: вредоносный код выполняется автоматически и незаметно для пользователя.

Вредоносная программа связывается с командным сервером и последовательно загружает следующие элементы, включая ряд дополнительных эксплойтов для повышения привилегий. После успешной подготовки устройства запускается основная нагрузка. Ее особенности и поведение в первой публикации не описаны, кроме того факта, что с зараженных устройств исходит аномально большой поток данных. Первоначальное сообщение удаляется в процессе установки.

Представляет интерес и приведенный в публикации экспертов «Лаборатории Касперского» метод анализа зараженных устройств. На самом iPhone это сделать невозможно из-за закрытости платформы Apple. Специалисты воспользовались инструментом Mobile Verification Toolkit, который анализирует резервную копию смартфона. Данная программа позволила восстановить последовательность действий вредоносной программы — например, по временным меткам определенных файлов и записям в базах данных. Такой анализ бэкапа позволяет однозначно установить, что устройство было скомпрометировано. Это возможно даже в том случае, если владелец сменил смартфон, но перенес на новое устройство данные со старого.

Впрочем, уже 2 июня эксперты написали и выпустили утилиту для автоматизации поиска следов заражения в бэкапах устройств Apple — triangle_check. Бинарные сборки для проверки под Windows и Linux доступны на GitHub, а для сканирования резервных копий на macOS придется установить Python-пакет.

Один из характерных признаков компрометации — сетевая активность приложения BackupAgent: это устаревшее ПО, которое в современных версиях iOS не используется (а вот активность приложения BackupAgent2 к взлому как раз не имеет отношения). В логах, полученных в результате анализа резервной копии, активность BackupAgent, как правило, предваряется строками с упоминанием процесса IMTransferAgent, который отвечает за скачивание вложений (в данном случае — с эксплойтом), а также информацией об изменениях в директории Library/SMS/Attachments. Пример вредоносной активности выглядит так:

2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 127) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 76281896.0, WWAN OUT: 100956502.0
2022-09-13 10:04:54.000000Z Manifest Library/SMS/Attachments/65/05 - MediaDomain
2022-09-13 10:05:14.744570Z Datausage BackupAgent (Bundle ID: , ID: 710) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 734459.0, WWAN OUT: 287912.0


Обнаружить зараженное устройство можно и при помощи анализа сетевого трафика с него (что и произошло изначально в ходе расследования). На скриншоте в начале статьи показан пример трафика, проанализированного в программе Wireshark. К вредоносной активности в данном случае относится как соединение с командными центрами, так обращения к обычным серверам Apple, являющиеся, судя по всему, побочным эффектом от работы вредоносного кода.

«Триангуляция» работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений iOS. Впрочем, исследователи предполагают, что способ восстановить работу вредоносного кода после перезагрузки все же имеется. По известным временным меткам самую раннюю активность, связанную с данной кампанией, можно датировать 2019 годом. Наиболее свежая версия iOS на обнаруженных зараженных устройствах — 15.7. Актуальная версия iOS — 16-я — выпущена в сентябре прошлого года. Относительно старая версия ОС на зараженных устройствах объясняется не нежеланием владельцев обновляться, а тем, что вредоносный код блокирует установку обновлений. Соответственно, косвенный признак заражения — это ошибка при попытке обновить ОС: «Software Update Failed. An error ocurred downloading iOS».

Этот отчет по атаке — не последняя публикация: исследователи «Лаборатории Касперского» продолжают анализ вредоносного кода. Пока можно лишь говорить о том, что эта атака крайне сложная: в ней используется несколько уязвимостей iOS, в результате чего вредоносный код получает на устройстве привилегии суперпользователя.

Что еще произошло


Специалисты Microsoft нашли серьезную уязвимость в операционной системе MacOS (оригинальный отчет, новость на Хабре). Уязвимость позволяет обойти систему защиты целостности, известную как System Integrity Protection. В нормальной ситуации SIP в принципе не дает изменять некоторые системные файлы и папки. Но нашелся способ обойти это ограничение при помощи утилиты macOS Migration Assistant.

Критические уязвимости в брандмауэрах Zyxel активно эксплуатируют злоумышленники. Соответствующее предупреждение на прошлой неделе опубликовало американское агентство CISA. Речь идет об уязвимостях, обнаруженных в апреле этого года, включая наиболее серьезную проблему CVE-2023-28771. В устройствах ZyWall и ряде других она позволяет удаленно выполнить произвольные системные команды.

Исследователи обнаружили уязвимость в популярном плагине Gravity Forms для Wordpress. В версиях плагина 2.73 и более ранних найден способ проведения PHP-инъекций в формах для заполнения.

Комментарии (0)