据卡巴斯基称,这是一项正在进行的调查,肇事者尚未确定。网络安全巨头和反病毒供应商卡巴斯基的首席执行官尤金卡巴斯基在一篇博客文章中透露,他们的高级员工使用的数十部iPhone包含间谍软件,能够录制音频、从消息应用程序捕获图像、地理定位等。该公司指出,其WiFi网络上的iOS设备已成为威胁行为者的目标,他们发起了零日攻击作为三角测量行动的一部分。研究人员在2019年发现了最古老的感染痕迹,据信攻击仍在进行中。
卡巴斯基研究人员在通过KUMA(卡巴斯基统一监控和分析)平台监控公司WiFi网络上移动设备的网络流量时,注意到几部iPhone上存在可疑活动。
为了进一步调查,他们创建了这些设备的离线备份,因为他们无法从内部检查它们,并使用移动验证工具包的mvt-ios发现了感染。该实用程序提供有关事件顺序的信息,使研究人员能够重现事件。
攻击始于iOS手机用户收到带有包含漏洞利用附件的iMessage。单击后,它会触发一个漏洞,该漏洞会在不涉及用户输入的情况下执行代码,从而使其成为零点击攻击。
恶意代码在连接到C2服务器后下载新的有效负载,其中可能包括权限提升漏洞。最终的有效载荷是一个功能丰富的APT平台。
“最终有效载荷的分析尚未完成。该代码以root权限运行,实现了一组用于收集系统和用户信息的命令,并且可以运行从C&C服务器作为插件模块下载的任意代码,”研究人员在他们的博客文章中写道。
多个漏洞组合在一起,使攻击者可以更深入地访问受感染的设备。下载最终有效负载后,邮件和恶意附件会启动自我删除。如果设备重新启动,恶意软件将无法保持持久性,但研究人员观察到某些样本会再次感染。
该攻击链中使用的漏洞的确切性质尚不清楚,但其中一个漏洞可能是Apple于2022年12月修补的内核扩展漏洞 (CVE-2022-46690)。
卡巴斯基实验室的调查结果发布的同一天,俄罗斯安全部门发表声明,指责美国利用苹果设备发起侦察行动。
“该品牌的数千部电话被感染......除了国内用户外,外国号码和使用在俄罗斯外交使团和大使馆注册的SIM卡的用户的感染事实,包括北约集团国家和后-苏联太空以及以色列、特区和中国都被揭露了,”俄罗斯情报部门称。
不过,苹果公司的发言人驳斥了这些指控,称他们的产品都没有包含后门程序,苹果公司永远不会与政府合作。
关于卡巴斯基的报告,Apple表示在某些版本的iPhone(iOS 15.7及以下版本)中检测到该问题,而目前iOS设备运行的是16.5版本。
iOS和macOS安全研究员Patrick Wardle告诉Wired,卡巴斯基一直被iOS零日攻击攻击五年,现在这个问题已经被发现,这表明检测零日攻击非常具有挑战性。
卡巴斯基指出,这种困难是由iOS的锁定设计造成的,这使得检查iOS的活动变得困难。这是一项正在进行的调查,肇事者尚未确定。请继续关注更新……
评论已关闭。