Лаборатория Касперского продолжает расчехлять вредоносную кампанию Операция Триангуляция, представляя все новые подробности о проделках Apple и их друзей из Ленгли (или из форта Мид, кто их там знает).

Для этого исследователи даже сделали целую отдельную страницу, посвященную Триангуляции, которая буквально в унисон с обновлениями от Apple пополнилась свеженьким обзором шпионского импланта TriangleDB.

Схема многоступенчатой загрузки вредоноса включала скрытые сообщения iMessage, 0-click и полноценный боевой эксплойт-кит.

После получения root-прав на целевом устройстве в результате успешной эксплуатации уязвимости в ядре iOS, TriangleDB развертывается в памяти, а исходное сообщение iMessage удаляется.

Имплантат не имеет механизма персистентности, и если в случае перезагрузки вся цепочка заражения повторяется заново. По истечении 30 дней имплантат самоликвидируется, если срок его работы не продлевается.

Написанный на Objective-C, имплантат TriangleDB взаимодействует со своим С2 с помощью библиотеки Protobuf для обмена данными. Конфигурация импланта содержит два сервера: основной и резервный.

Сообщения шифруются с использованием симметричной (3DES) и асимметричной (RSA) криптографии и передаются по протоколу HTTPS в запросах POST.

TriangleDB периодически отправляет heartbeat-сообщения на C2-сервер с указанием версии зловреда, идентификаторов устройства и статуса службы обновлений, который отвечает командами, переданными в виде сообщений Protobuf с неясными именами типов.

Ресерчеры ЛК обнаружили 24 команды, которые позволяют взаимодействовать с файлами и процессами, извлекать данные из связки ключей, отслеживать геолокацию и запускать дополнительные модули в виде исполняемых файлов Mach-O.

Шпионское ПО отслеживает изменения папок на устройстве, все новые или модифицированые файлы ставит в очередь на эксфильтрацию.

Изучая ряд артефактов исследователи также пришли к выводу, что схожий имплант используется в атаках на macOS, а запрашиваемый набор прав у ОС в полной мере не реализуется в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth, что указывает на существование дополнительных модулей.

Индикаторы компрометации TriangleDB, iOS-импланта с примечательными деталями, представлены в отчете, а специалисты обещают продолжение.

Депутат ГД Горелкин предложил подумать о формировании в Росгвардии подразделения кибервойск.

"Поскольку Росгвардия это, прежде всего, силовое ведомство, стоит подумать и над формированием в её структуре полноценного подразделения кибервойск – с учетом растущих здесь цифровых компетенций. В условиях информационного противоборства это необходимость", - написал он в своем телеграм-канале.

https://ria.ru/20230626/bezopasnost-1880507095.html