Apple 消除了 TriangleDB 间谍软件使用的内核错误 • 日志

卡巴斯基研究人员表示，任何使用 TriangleDB 间谍软件感染 iPhone 的人都可能将类似恶意软件瞄准 macOS 计算机。

在安全商店对智能手机黑客攻击活动（攻击者利用内核中的漏洞获取 root 权限并在受害者手机上安装 TriangleDB）的持续分析中，卡巴斯基分析师发现了恶意软件提供的 24 个命令，这些命令可用于一系列攻击非法活动； 从窃取数据到跟踪受害者的地理位置和结束操作的一切。

TriangleDB 是卡巴斯基发现在其管理计算机上运行的神秘间谍软件。

分析人士还发现了一种方法，称为 populateWithFieldsMacOSOnly 在CRConfig类中，用于存储植入配置。 我们被告知，当代码部署到目标 iPhone 时，不会使用此函数，即使它表明存在 macOS 变体或创建间谍软件。

作者：格奥尔基·库切林、列昂尼德·贝兹维尔琴科和伊戈尔·库兹涅佐夫 V.I 研究 今天发布。

同样在今天，苹果推出了 节目更新 修复卡巴斯基研究人员在分析TriangleDB时发现的内核漏洞。 CVE-2023-32434 补丁适用于几乎所有 iPhone 和 iPad 型号以及 Apple Watch Series 3 及更高版本，以及运行 macOS Ventura、Monterey 和 Big Sur 的计算机。

Apple 称赞 Kucherin、Bezvershenko 和 Kuznetsov 发现了该缺陷，并且发布说明承认“Apple 已获知一份报告，称此问题可能已被积极利用于 iOS 15.7 之前发布的 iOS 版本”。

虽然卡巴斯基对间谍软件活动的初步分析没有发现任何迹象表明该漏洞成功入侵了运行 iOS 15.7 以来的 iOS 版本的设备，但深入研究漏洞链发现该漏洞的后期阶段仍然有效。

苹果发言人表示，今天的修复确保了这些后期阶段不能用于单独的攻击。 这些补丁还解决了另一个漏洞：iOS 和 macOS 中的 Webkit 错误 (CVE-2023-32439)，该错误由未知来源报告，并且也可能已在野外被利用。

有趣的是，苹果的更新还关闭了 CVE-2023-32435，这是卡巴斯基三人组报告的 WebKit 中另一个被利用的代码执行漏洞，但在他们的文章中没有提及； 仅指示了内核错误。

三角测量过程

卡巴斯基6月1日表示，它在俄罗斯巨头Infosec中高层管理人员的“数十部”iPhone上检测到了一种此前不为人知的间谍软件TriangleDB。 他将这次间谍活动称为“三角测量行动”。

同样在 6 月 1 日，俄罗斯情报部门指责美国和苹果黑客联手通过 iPhone 网关来监视世界各地“数千名”外交官。 除了这些指控之外，克里姆林宫联邦安全局（FSB）没有提供任何证据。 卡巴斯基发言人当时表示 日志 她知道 FSB 的指控，但无法确定这两件事——所谓的美国 iPhone 和许多卡巴斯基设备上的间谍软件——是否相关。

自最初的三角测量报告以来，卡巴斯基已经发布了 三角形检查工具 自动搜索设备是否感染恶意软件。

今天的研究是在对操作进行了六个月的调查以及对漏洞利用链进行深入分析之后进行的。

当被问及是否在非卡巴斯基员工的 iPhone 上检测到植入物时，公司发言人表示。 日志值得注意的是，我们只能披露有关卡巴斯基员工攻击期间发现的感染信息。

研究人员尚未将此次黑客活动归咎于任何特定人员或国家。 该发言人补充说：“根据网络攻击的特点，我们不能将这次网络间谍活动与任何现有的威胁因素联系起来。”

这就是团队对 TriangleDB 的发现。

深入研究 TriangleDB

正如他们之前讨论的，该漏洞利用包含恶意附件的 iMessage 开始； 仅仅收到此消息就足以感染易受攻击的 iOS 设备。 消息有效负载旨在最终利用内核级安全漏洞来获得 root 权限，从而实现对系统的完全控制。 该代码似乎是用 Objective-C 编写的。

该代码会在内存中部署 TriangleDB 间谍软件，因此如果受害者重新启动 iPhone，黑客就必须重新感染目标设备。 如果没有重新启动，植入物将在 30 天后自行移除，除非攻击者延长植入时间。

启动后，恶意软件开始使用 Protobuf 库与命令和控制服务器进行通信。 所有消息均通过 HTTPS 连接使用 3DES 和 RSA 进行加密。

植入程序将带有系统信息的心跳测试发送到 C2 服务器，服务器用命令响应这些消息，所有命令的名称都以 CRX 开头。

卡巴斯基研究人员分析了其中 24 个命令，并表示它们可用于使间谍软件与进程和文件系统交互，以创建和删除文件。 这些命令还可以监控 iPhone 的地理位置并转储受害者的钥匙串项目，从而允许攻击者收集凭据。 此外，它们还可以运行其他模块，这些模块同样仅存储在内存中。

还应该注意的是，植入程序向操作系统请求多个权限，其中一些权限在代码中并未使用。 这包括访问设备的摄像头、麦克风和地址簿，以及通过蓝牙与其他设备交互的权限。

卡巴斯基表示，这可能意味着这些功能是在模块中实现的。 ®