Kaspersky uzmanları, iOS cihazlarını hedef alan Operation Triangulation kampanyası hakkındaki raporun ardından, saldırılar sırasında kullanılan casus yazılım implantının ayrıntılarına ışık tuttu.
Kaspersky uzmanları, iOS cihazlarını hedef alan Operation Triangulation kampanyası hakkındaki raporun ardından, saldırılar sırasında kullanılan casus yazılım implantının ayrıntılarına ışık tuttu. TriangleDB olarak adlandırılan implant, saldırganlara gizlice gözetleme yetenekleri kazandırıyor. Yalnızca bellekte çalışan implant, cihaz tekrardan başlatıldığında tüm kanıtların silinmesini sağlıyor.
Kaspersky, kısa süre önce iMessage üzerinden özellikle iOS cihazlarını hedef alan yeni mobil Gelişmiş Kalıcı Tehdit (APT) kampanyası hakkındaki yeni detayları paylaştı. Kaspersky araştırmacıları altı aylık araştırmanın ardından istismar zincirinin derinlemesine analizini yayınladı ayrıca casus yazılımın sistemlere nasıl yerleştiğinin ayrıntılarını ortaya çıkardı. TriangleDB olarak adlandırılan implant, hedeflenen iOS cihazında temel ayrıcalıkları elde etmek için çekirdekteki bir güvenlik açığından yararlanılarak dağıtılıyor.
Tehdit bir kez yerleştirildikten sonra yalnızca cihazın belleğinde çalışıyor, dolayısıyla tekrardan başlatıldığında bulaşmanın izleri kayboluyor. Sonuç olarak kurban cihazını tekrardan başlatırsa, saldırganın kötü niyetli bir ek içeren başka bir iMessage göndererek tekrardan bulaştırması ayrıca tüm istismar sürecini bir kez daha baştan başlatması gerekiyor. Tekrardan başlatma gerçekleşmezse, saldırganlar süreyi uzatmadığı sürece implant 30 gün sonra kendini otomatik olarak kaldırıyor. Karmaşık bir casus yazılım tekniğiyle çalışan TriangleDB, son derece çeşitli veri toplama ayrıca izleme yeteneklerine sahip.
İmplant toplamda farklı işlevlere sahip 24 komut içeriyor. Bu komutlar cihazın dosya sistemiyle etkileşimi (dosya oluşturma, değiştirme, dışarı sızma ayrıca kaldırma dahil), süreçleri yönetme (listeleme ayrıca sonlandırma), kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ayrıca diğerlerinin yanı sıra kurbanın coğrafi konumunu izleme gibi çeşitli amaçlara hizmet ediyor.
Kaspersky uzmanları, TriangleDB’yi analiz ederken CRConfig sınıfı populateWithFieldsMacOSOnly adında kullanılmayan bir yöntem içerdiğini keşfetti. Her ne kadar iOS implantında kullanılmamış olsa da bu metodun varlığı benzer bir implant ile macOS cihazlarının hedeflenebileceğini gösteriyor.
Kaspersky Global Araştırma ayrıca Analiz Ekibi (GReAT) Güvenlik Uzmanı Georgy Kucherin, şunları söyledi: “Saldırıyı derinlemesine incelediğimizde çok sayıda ilgi çekici tuhaflık sergileyen sofistike bir iOS implantı keşfettik. Kampanyayı analiz etmeye devam ediyoruz. Bu karmaşık saldırıya ilişkin daha fazla bilgilendirme ile herkesi güncel tutacağız. Siber güvenlik topluluğunu, tehditler hakkında daha net bir görünüm elde etmek için birleşmeye, bilgilendirme paylaşmaya ayrıca iş birliği yapmaya çağırıyoruz.”
TriangleDB casus yazılımı hakkında daha fazla bilgilendirme edinmek için Securelist.com adresini ziyaret edin.
Kaspersky araştırmacıları, kötü amaçlı yazılımların bulaşmasını otomatik olarak arayan özel bir ‘triangle check’ yardımcı programı yayınladı. Cihazınızı nasıl kontrol edeceğinize dair ayrıntılı bir kılavuz için blog yazısını okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemleri almanızı öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
