Лаборатория Касперского продолжает разбор кибершпионского ПО, | SecAtor

Лаборатория Касперского продолжает разбор кибершпионского ПО, которое использовалось в масштабной кампании по заражению принадлежащих российским пользователям девайсов iPhone.

В новом отчете по операции «Триангуляция» сделан акцент на структуре spyware и его компонентах, часть из которых, судя по инфографике, будут еще представлены в какой-то перспективе.

Имплантат TriangleDB включает как минимум четыре различных модуля для записи микрофона, извлечения связки ключей iCloud, кражи данных из баз данных SQLite, используемых различными приложениями, и контроля местоположения жертвы.

Как отмечают исследователи, актор смог реализовать беспрецедентную скрытность, максимально тайно собирая конфиденциальную информацию со скомпрометированных устройств.

Ядро структуры атаки представляет собой бэкдор под названием TriangleDB, который развертывается после того, как злоумышленники получают root-права на целевом устройстве iOS, используя CVE-2023-32434, RCE-уязвимость ядра.

Развертыванию имплантата предшествуют два этапа валидации, а именно JavaScript Validator и Binary Validator, которые выполняются для определения того, не связано ли целевое устройство с исследовательской средой.

Отправной точкой цепочки атак является невидимое вложение iMessage, которое получает жертва, запуская цепочку 0-click эксплойтов, предназначенную для скрытного открытия уникального URL, содержащего запутанный JavaScript, а также зашифрованную полезную нагрузку - валидатор JavaScript.

Помимо выполнения различных арифметических операций и проверки наличия Media Source API и WebAssembly, он реализует Canvas Fingerprinting, замыкая желтый треугольник на розовом фоне с помощью WebGL и вычисляя контрольную сумму.

Информация, собранная на этом этапе, передается на удаленный сервер для получения вредоносного ПО следующей стадии - бинарного валидатора, файла Mach-O, непосредственно перед загрузкой TriangleDB.

После запуска он расшифровывает конфигурацию при помощи алгоритма AES. Файл содержит список действий (например, DeleteLogs, DeleteArtifacts), которые должен выполнить валидатор. Причем как для систем iOS, так и для macOS.

После выполнения всех действий валидатор шифрует собранные данные (список процессов, информацию о пользователе и т.д.) и отправляет их на командный сервер, откуда возвращается TriangleDB.

После установления бэкдором связи с C2 и отправки контрольного сигнала, поступают команды на удаление журнала сбоев и файлов базы данных, чтобы скрыть следы цепочки заражения и затруднить возможный анализ.

После удаления логов злоумышленники инициируют ряд команд по периодическому извлечению файлов из каталога private/var/tmp, содержащих информацию о местоположении, связке ключей iCloud, из баз данных SQLite, а также записей с микрофона.

Примечательной особенностью модуля записи с микрофона является его способность приостанавливать запись при включении экрана устройства. А модуль мониторинга местоположения настроен на использование данных GSM для триангуляции местоположения жертвы, когда данные GPS недоступны.

Как отмечают исследователи, злоумышленники показали отличное понимание внутреннего устройства iOS, поскольку в ходе атаки использовались приватные API, что прямо свидетельствует об их кооперации с разработчиками Apple.

При этом обнаруженные артефакты указывают на то, что операция «Триангуляция» (или ее предшественники) была активна как минимум с 2015 года и нацелена не только на iOS, но и на macOS.

Если измерять этапы исследования ЛК пятью стадиями принятия неизбежного - то сейчас пользователи iOS переживают гнев.