Operation Triangulation richt zich op iOS-apparaten met nieuwe malware

apple ios iphone

Terwijl ze het netwerkverkeer van hun speciale zakelijke Wi-Fi-netwerk voor mobiele apparaten in de gaten hielden, ontdekten onderzoekers van Securelist verdachte activiteit afkomstig van meerdere iOS-telefoons. Vanwege de inherente beperkingen van het intern inspecteren van moderne iOS-apparaten, kozen onderzoekers ervoor om offline back-ups van de apparaten in kwestie te maken en deze te analyseren met behulp van de mvt-ios-tool van de Mobile Verification Toolkit. Door deze analyse ontdekten ze bewijs van een compromis, wat leidde tot de identificatie van een campagne die 'Operatie Triangulatie' wordt genoemd.

Door de back-ups van mobiele apparaten te onderzoeken, die een gedeeltelijke replica van het bestandssysteem omvatten, inclusief gebruikersgegevens en servicedatabases, konden de onderzoekers tijdstempels van bestanden en mappen gebruiken, evenals databaserecords, om een ruwe tijdlijn van gebeurtenissen op de gecompromitteerde computer te reconstrueren. apparaten. Het mvt-ios-hulpprogramma vergemakkelijkte de aanmaak van een gesorteerd tijdlijnbestand met de naam "timeline.csv", vergelijkbaar met de supertijdlijnen die worden gebruikt in traditionele digitale forensische tools.

Door gebruik te maken van deze tijdlijn, hebben onderzoekers met succes specifieke artefacten geïdentificeerd die het compromis aangaven. Deze ontdekking stuwde hun onderzoek vooruit, waardoor ze de algemene volgorde van infectie als volgt konden schetsen:

  • Het beoogde iOS-apparaat ontvangt een iMessage met een bijlage vol exploits.
  • Het bericht activeert een kwetsbaarheid in het apparaat, wat leidt tot uitvoering van code zonder tussenkomst van de gebruiker.
  • De exploit gaat verder met het downloaden van verschillende volgende stadia van de command and control (C&C)-server, inclusief misbruik van privilege-escalatie.
  • Na succesvolle exploitatie wordt een volledig uitgerust Advanced Persistent Threat (APT)-platform, dat als laatste payload dient, gedownload van de C&C-server.
  • Het eerste bericht en de bijlage bij de exploit worden verwijderd om sporen uit te wissen.

Vanwege de beperkingen van het besturingssysteem ontbreekt het de schadelijke toolset aan persistentie. Bijgevolg suggereren tijdlijnen van meerdere apparaten de mogelijkheid van herinfectie na opnieuw opstarten. De vroegst geïdentificeerde sporen van infectie dateren uit 2019. Vanaf juni 2023 is de aanval nog steeds aan de gang, gericht op apparaten met iOS 15.7, de nieuwste versie op het moment van schrijven.
De analyse van de uiteindelijke lading is nog aan de gang. De code draait met rootrechten en implementeert een reeks opdrachten om systeem- en gebruikersinformatie te verzamelen en kan willekeurige code uitvoeren die is verkregen als plug-inmodules van de C&C-server.

Het is van cruciaal belang om op te merken dat ondanks dat de malware specifieke codesegmenten bevat die bedoeld zijn om sporen van besmetting te wissen, het nog steeds mogelijk is om op betrouwbare wijze te bepalen of een apparaat is gecompromitteerd. Bovendien, als een nieuw apparaat wordt ingesteld door gebruikersgegevens van een ouder apparaat te migreren, bevat de iTunes-back-up van beide apparaten sporen van een compromis met nauwkeurige tijdstempels.

Waarom is malware voor iOS-telefoons moeilijk te ontleden?

Malware voor iOS-telefoons wordt over het algemeen als moeilijker te ontleden beschouwd in vergelijking met malware die zich richt op andere besturingssystemen, zoals Android. Hiervoor zijn verschillende redenen:

Gesloten ecosysteem: iOS is een gesloten ecosysteem, wat betekent dat Apple de distributie van hardware, software en apps op hun apparaten nauwlettend in de gaten houdt. Dit gesloten karakter maakt het moeilijker voor malware om voet aan de grond te krijgen en zich binnen het systeem te verspreiden.

Beoordelingsproces App Store: De App Store heeft een streng beoordelingsproces waarbij elke app wordt gescreend voordat deze beschikbaar wordt gesteld om te downloaden. Dit proces helpt voorkomen dat schadelijke apps op grote schaal worden verspreid. Hoewel dit de kans op malware niet volledig uitsluit, biedt het wel een extra beschermingslaag.

Sandboxing: iOS-apps zijn sandboxed, wat betekent dat ze in hun eigen beperkte omgeving werken en beperkte toegang hebben tot de onderliggende systeembronnen en gegevens. Deze isolatie voorkomt dat malware zich gemakkelijk verspreidt over verschillende delen van het systeem.

Code-ondertekening en versleuteling: iOS-apps moeten worden ondertekend door een door Apple uitgegeven ontwikkelaarscertificaat. Deze codeondertekening zorgt ervoor dat alleen geautoriseerde ontwikkelaars apps kunnen maken en distribueren. Bovendien maakt iOS gebruik van krachtige versleutelingsmaatregelen, waardoor het moeilijk wordt om de code van de app te analyseren en ermee te knoeien.

Beperkte gebruikersrechten: iOS beperkt gebruikersrechten, waardoor apps geen toegang krijgen tot gevoelige delen van het apparaat zonder expliciete gebruikerstoestemming. Deze beperking vermindert de potentiële impact van malware.

Hoewel iOS verschillende beveiligingsfuncties biedt, is het belangrijk op te merken dat geen enkel systeem volledig immuun is voor malware. Er zijn gevallen van iOS-malware geweest, maar vanwege de bovengenoemde factoren komt deze minder vaak voor in vergelijking met andere platforms. Naarmate de technologie voortschrijdt, passen makers van malware zich echter voortdurend aan en vinden ze nieuwe manieren om kwetsbaarheden te misbruiken, waardoor voortdurende beveiligingsmaatregelen en waakzaamheid noodzakelijk zijn.

Tegen Zaib
June 23, 2023
Computer Security
Nederlands
June 23, 2023
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.