Операция Триангуляция: валидаторы, модули и активность после компрометации

Операция Триангуляция TriangleDB валидатор киберугроза злоумышленник
Операция Триангуляция: валидаторы, модули и активность после компрометации
Операция Триангуляция TriangleDB валидатор киберугроза злоумышленник

Хакеры становятся всё изощреннее.

image

В начале лета эксперты Лаборатории Касперского обнаружили масштабную кибероперацию, направленную на заражение iPhone российских пользователей. Эта операция получила название "Операция Триангуляция". Российские официальные структуры обвинили в её организации американские спецслужбы.

Apple заявила о своем непричастности к шпионским атакам и выпустила патчи для устранения уязвимостей, которые использовались для взлома.

Многие российские организации решили отказаться от использования iPhone. Тем временем, Лаборатория Касперского продолжала исследование данной операции.

По данным недавнего отчета, злоумышленники, стоящие за "Операцией Триангуляция", приложили максимум усилий, чтобы скрыть свою активность. Их программное обеспечение собирало обширную информацию с устройств, включая аудиозаписи, данные мессенджеров, метаданные фотографий и многое другое. Отдельное внимание стоит уделить тому, что вредоносное ПО могло функционировать и на компьютерах с операционной системой macOS.

Основные моменты отчета:

Компоненты валидации: Описана цепочка заражения операции «Триангуляция», где на устройство приходит вредоносное сообщение iMessage, запускающее выполнение цепочки эксплойтов, которое в конечном итоге приводит к загрузке импланта TriangleDB. В этой цепочке присутствуют два «валидатора»: написанный на JavaScript и бинарный валидатор. Эти валидаторы собирают и отправляют на командный сервер различную информацию об устройстве жертвы. Это делается для того, чтобы убедиться, что iPhone или iPad, на который собираются загрузить TriangleDB, не является исследовательским устройством.

JavaScript-валидатор: Цепочка заражения начинается с получения пользователем iMessage с вложением, содержащим эксплойт. Этот эксплойт открывает HTML-страницу на домене backuprabbit[.]com, где находится обфусцированный JavaScript-код и зашифрованная полезная нагрузка — JavaScript-валидатор. Этот валидатор проводит множество проверок, в том числе использует технологию Canvas Fingerprinting для сбора данных об устройстве.

Бинарный валидатор: Этот валидатор представляет собой бинарный файл Mach-O и запускается перед загрузкой TriangleDB. Он расшифровывает конфигурацию при помощи алгоритма AES и выполняет ряд действий, таких как удаление логов, поиск следов вредоносного сообщения iMessage и сбор данных о пользователе.

Поиск следов в логах: Злоумышленники, стоящие за операцией «Триангуляция», стремятся к максимальной скрытности. После успешного выполнения всех эксплойтов и запуска импланта на устройстве, он отправляет командному серверу сигнальное сообщение. Затем он получает команды, связанные с поиском логов, в которых могут оставаться следы заражения.

Отчет подчеркивает сложность и изощренность методов, используемых злоумышленниками, и необходимость постоянного мониторинга и анализа угроз для обеспечения безопасности устройств.