Kaspersky, “Operation Triangulation”da kullanılan casus yazılımın ayrıntılarını açıkladı!
Kaspersky uzmanları, iOS cihazlarını hedef alan Operasyon Üçgeni kampanyasına ilişkin raporun ardından, saldırılar sırasında kullanılan casus yazılım implantının ayrıntılarına ışık tuttu. TriangleDB adı verilen implant, saldırganlara casusluk yetenekleri sağlıyor. Yalnızca bellek implantı, cihaz yeniden başlatıldığında tüm kanıtların silinmesini sağlar.
Kaspersky, yakın zamanda özellikle iMessage üzerinden iOS cihazlarını hedefleyen yeni taşınabilir Gelişmiş Kalıcı Tehdit (APT) kampanyası hakkında yeni ayrıntılar paylaştı. Altı aylık araştırmanın ardından Kaspersky araştırmacıları, istismar zincirinin derinlemesine bir analizini yayınlayarak casus yazılımların sistemlere nasıl girdiğinin ayrıntılarını ortaya çıkardı. TriangleDB adlı implant, hedeflenen iOS aygıtında temel ayrıcalıklar elde etmek için çekirdekteki bir güvenlik açığından yararlanılarak dağıtılır.
Tehdit bir kez yerleştirildikten sonra yalnızca cihazın belleğinde çalışır, ancak yeniden başlatıldığında bulaşma izleri kaybolur. Sonuç olarak, kurban cihazını yeniden başlatırsa, saldırganın kötü amaçlı bir ek içeren başka bir iMessage göndererek cihaza yeniden bulaştırması ve tüm istismar sürecini baştan başlatması gerekir. Yeniden başlatma gerçekleşmezse, saldırganlar süreyi uzatmadıkça implant 30 gün sonra otomatik olarak kendini kaldırır. Sofistike bir casus yazılım tekniği ile çalışan TriangleDB, çok çeşitli veri toplama ve izleme yeteneklerine sahiptir.
İmplant, farklı işlevlere sahip toplam 24 komut içerir. Bu komutlar, cihazın belge sistemiyle etkileşimi (dosya oluşturma, değiştirme, sızdırma ve kaldırma dahil), süreçleri yönetme (listeleme ve sonlandırma), kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve coğrafi izleme dahil olmak üzere çeşitli amaçlara hizmet eder. kurbanın yeri ve oburlukları.
Kaspersky uzmanları, TriangleDB’yi analiz ederken CRConfig sınıfının populateWithFieldsMacOSOnly adlı kullanılmayan bir yöntem içerdiğini keşfetti. iOS implantında kullanılmamış olsa da bu yöntemin varlığı, örneğin macOS cihazlarının bir implant ile hedeflenebileceğini gösteriyor.
Kaspersky Global Araştırma ve Analiz Grubu (GReAT) Güvenlik Uzmanı George Kucherin, söz konusu: “Saldırıyı daha derinlemesine incelediğimizde, bir dizi ilgi çekici tuhaflık sergileyen gelişmiş bir iOS implantı keşfettik. Kampanyayı incelemeye devam ediyoruz. Bu karmaşık saldırı hakkında daha fazla bilgi vererek herkesi güncel tutacağız. Sizleri paylaşmaya ve işbirliği yapmaya davet ediyoruz.”
TriangleDB casus yazılımı hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin.
Kaspersky araştırmacıları, zararlı kötü amaçlı yazılım bulaşmalarını otomatik olarak arayan özel bir “üçgen denetimi” yardımcı programı yayınladı. Cihazınızı nasıl kontrol edeceğinize dair ayrıntılı bir rehber için blog gönderisini okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin kasıtlı saldırılarına kurban gitmemek için aşağıdaki önlemlerin alınmasını öneriyor:
- Olayların uç nokta düzeyinde tespiti, araştırılması ve zamanında düzeltilmesi için Kaspersky Unified Monitoring and Analysis Platform (KUMA) gibi güvenli bir kurumsal güvenlik analizi kullanın.
- Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımları mümkün olan en kısa sürede ve düzenli olarak güncelleyin.
- SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı, şirketin tehdit istihbaratına erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı bilgileri ve öngörüleri sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile en son amaca yönelik tehditlerle başa çıkmak için siber güvenlik grubunuzun yeteneklerini geliştirin.
- Hedefli saldırılar çoklu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, güvenlik farkındalığı eğitimi verin ve ekibinize pratik beceriler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
