В процессе мониторинга собственной корпоративной Wi-Fi сети с помощью SIEM-системы KUMA, эксперты «Лаборатории Касперского» обнаружили подозрительную активность нескольких iOS-устройств. Поскольку из-за закрытости операционной системы невозможно провести ее полноценное исследование на предмет заражения на самом устройстве, был проведен анализ их резервных копий с помощью Mobile Verification Toolkit’s mvt-ios. В результате были обнаружены следы компрометации устройств ранее неизвестной вредоносной программой.
Узнайте больше в полной версии ➞«Мы назвали эту вредоносную кампанию «Операция Триангуляция» (Operation Triangulation). Всю имеющуюся о ней информацию мы будем постепенно собирать на https://securelist.ru/trng-2023/ тематической странице. Также мы призываем всех присоединиться к исследованию и выделили для контактов специальный адрес: triangulation[at]kaspersky.com», - рассказали в «Лаборатории Касперского».
Анализ последовательностей событий зараженных устройств позволил нам выделить события, специфичные для момента компрометации. Дальнейшее исследование позволило восстановить следующую картину заражения:
заражаемое iOS-устройство получает сообщение iMessage со специальным вложением, содержащим эксплойт;
без какого-либо взаимодействия с пользователем эксплойт из сообщения вызывает выполнение вредоносного кода;
указанный код соединяется с сервером управления и приводит к последовательной загрузке нескольких «ступеней» вредоносной программы, включая дополнительные эксплойты для повышения привилегий;
после успешной отработки всех вредоносных компонентов, загружается конечная вредоносная нагрузка — полноценная APT-платформа;
сообщение и вложение с эксплойтом удаляются в процессе заражения.
Вредоносная платформа работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений операционной системы. Однако последовательности событий нескольких устройств указывают на то, что после перезагрузки устройства могут быть заражены снова. Наиболее старые временные метки заражений указывают на 2019 год. На момент написания блогпоста (июнь 2023) атака продолжалась, наиболее старшая версия iOS на обнаруженных зараженных устройствах — 15.7.
Несмотря на то что вредоносная платформа содержит код, разработанный специально для сокрытия возможных следов заражения, в системе остается достаточно информации, позволяющей однозначно идентифицировать скомпрометированные устройства. Более того, если при настройке нового устройства пользовательские данные были перенесены путем миграции с предыдущего телефона, резервная копия нового устройства сохранит следы компрометации обоих устройств, с точными временными метками всех событий.
«В результате анализа компрометированных устройств нам удалось определить домены, использованные для заражения и последующего управления вредоносными компонентами. Данный список можно использовать для ретроспективного поиска информации о заражениях в журналах DNS или для определения устройств с активным заражением: addatamarket[.]net backuprabbit[.]com», - говорится в сообщении.