安全內參6月2日消息,俄羅斯網絡安全公司卡巴斯基披露,內部網絡上有一些iPhone遭到黑客利用零日漏洞入侵,攻擊者使用iMessage零點擊漏洞安裝了惡意軟件。
蘋果iMessage收發消息時存在一個漏洞,無需任何用戶交互就能執行任意代碼,攻擊者可借此遠程下載安裝其他惡意軟件。
隨后,發送的消息和附件都被從設備中擦除,但有效載荷繼續保留在后臺,以root權限運行,收集系統和用戶信息并執行攻擊者發出的命令。
卡巴斯基表示,這一行為開始于2019年,攻擊活動當前仍在繼續。卡巴斯基將其命名為“Operation Triangulation”,并號召更多知情人士分享相關信息。
卡巴斯基分析惡意軟件
由于無法直接在設備上對iOS系統做分析,卡巴斯基使用移動設備驗證工具包MVT為受感染iPhone創建了文件系統備份,旨在還原攻擊過程和惡意軟件軟件的功能信息。
雖然該惡意軟件試圖從設備上刪除攻擊痕跡,但仍有部分感染跡象會被保留下來,例如通過修改系統文件阻止iOS安裝更新、異常數據使用、注入已被棄用的庫等。
分析顯示,感染的最初跡象出現在2019年,當時被該惡意軟件工具集感染的最新iOS版本為15.7。
請注意,目前iOS版本已升級至16.5,可能已經修復了惡意軟件攻擊所利用的漏洞。
受害者的iMessage收到漏洞利用消息,將觸發iOS中某個未知漏洞以執行代碼,進而從攻擊者的服務器獲取后續操作,包括權限提升漏洞。
卡巴斯基公司發布了與該惡意活動相關的15個域名,企業安全人員可以使用這份清單檢查歷史DNS日志,查找內部設備是否存在被利用的跡象。
在獲得root權限升級后,惡意軟件會下載一套功能齊全的工具集,該工具集可執行收集系統和用戶信息、從C2下載其他模塊的命令。
卡巴斯基指出,被投放到設備上的APT工具集缺乏持久性機制,因此重啟系統就可以有效阻止。
目前僅公開了該惡意軟件的部分功能細節,對最終有效載荷的分析仍在進行當中。
俄羅斯情報部門指責NSA發動攻擊
同日,俄羅斯情報與安全部門聯邦安全局(FSB)也發布聲明,稱蘋果公司故意向美國國家安全局提供后門,用來在俄國內iPhone上傳播間諜軟件。
俄聯邦安全局指出,它已經發現數千部感染了惡意軟件的蘋果iPhone設備,這些手機的使用者包括俄羅斯政府官員,以及以色列、中國與幾個北約成員國駐俄羅斯大使館的工作人員。
盡管指控內容相當嚴重,但聯邦安全局沒有提供任何實質性證據。
俄羅斯政府此前曾建議,所有中央政府成員和機構雇員停止使用蘋果iPhone,并在可能的情況下徹底棄用美國制造的技術產品。
卡巴斯基表示,此次攻擊還影響到其莫斯科總部及其他多國的員工。盡管如此,卡巴斯基稱尚無法證明當前發現與聯邦安全局報告之間的聯系,因為他們沒有看到政府調查的技術細節。
不過在同一天,俄羅斯計算機應急響應小組(RU-CERT)發布警報,將聯邦安全局的聲明同卡巴斯基的報告關聯了起來。
蘋果公司回應稱,卡巴斯基并未表示發現的漏洞會對iOS 15.7之后的版本有效,當前的蘋果iPhone系統版本為16.5。
美國國家安全局拒絕就此事發表評論。
看雪學苑
安全內參
GoUpSec
商密君
安全圈
安全圈
安全牛
安全牛
嘶吼專業版
安全圈
GoUpSec
商密君
