A seguito del report sulla campagna Operation Triangulation che ha preso di mira i dispositivi iOS, gli esperti di Kaspersky stanno facendo luce sullo spyware utilizzato durante gli attacchi. Denominato TriangleDB, il sistema fornisce agli attaccanti la capacità di sorvegliare di nascosto i dispositivi. Funziona esclusivamente a livello di memoria, assicurando che tutte le prove della presenza dello spyware vengano cancellate al riavvio del dispositivo.
Kaspersky ha recentemente segnalato una nuova campagna di Advanced Persistent Threat (APT) mobile che prende di mira specialmente i dispositivi iOS tramite iMessage. Dopo sei mesi di indagini, i ricercatori dell’azienda hanno pubblicato un’analisi approfondita sul suo funzionamento e hanno scoperto i dettagli dell’operazione dello spyware.
Il sistema, denominato TriangleDB, viene distribuito sfruttando una vulnerabilità a livello del kernel per acquisire i privilegi di amministratore (root) sul dispositivo iOS preso di mira. Una volta installato, opera esclusivamente nella memoria del dispositivo, per cui le tracce dell’infezione scompaiono al riavvio del dispositivo.
Di conseguenza, se la vittima riavvia il dispositivo, l’attaccante deve reinfettarlo inviando un altro iMessage con un allegato dannoso, avviando nuovamente l’intero processo di sfruttamento. In mancanza di riavvio, l’impianto si disinstalla automaticamente dopo 30 giorni, a meno che gli attaccanti non prolunghino questo periodo.
Operando come spyware complesso, TriangleDB esegue un’ampia gamma di funzionalità di raccolta e monitoraggio dei dati.
Il sistema comprende 24 comandi con diverse funzionalità e diversi scopi, tra cui interagire con il filesystem del dispositivo (compresa la creazione, la modifica, l’esfiltrazione e la rimozione dei file), gestire i processi (listing e termination), estrarre elementi dalla keychain per raccogliere le credenziali della vittima e monitorarne la geolocalizzazione.
Nell’analisi di TriangleDB, gli esperti di Kaspersky hanno scoperto che la classe CRConfig contiene un codice inutilizzato chiamato populateWithFieldsMacOSOnly. Sebbene non sia utilizzato nell’impianto iOS, la sua presenza suggerisce la possibilità di colpire i dispositivi macOS con un impianto simile.
“Analizzando l’attacco nel dettaglio, abbiamo scoperto un sofisticato impianto iOS che mostrava numerose e interessanti particolarità. Continuiamo ad analizzare la campagna e vi aggiorneremo nel caso di ulteriori approfondimenti su questo sofisticato attacco. Invitiamo la cybersecurity community a collaborare e condividere le conoscenze per avere un quadro più chiaro delle minacce in circolazione”, ha commentato Georgy Kucherin, Security Expert di Kaspersky Global Research and Analysis Team (GReAT).
Per ulteriori informazioni sullo spyware TriangleDB, è possibile consultare Securelist.
I ricercatori di Kaspersky hanno rilasciato una speciale utility “triangle_check” che cerca automaticamente l’infezione da malware. Per una guida dettagliata su come controllare il dispositivo è possibile leggere il blogpost al seguente link.
Per proteggersi da simili attacchi mirati da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
⦁ Utilizzare una soluzione di sicurezza affidabile per le aziende, come Kaspersky Unified Monitoring and Analysis Platform (KUMA), per il rilevamento, l’indagine e la risoluzione tempestiva degli incidenti a livello di endpoint.
⦁ Aggiornare il sistema operativo Microsoft Windows e altri software di terze parti appena possibile e regolarmente.
⦁ Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). ⦁ Kaspersky Threat Intelligence è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati sui cyberattacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni.
⦁ Tenere sempre aggiornato il team di cybersecurity in modo che sappia affrontare le ultime minacce mirate con la ⦁ formazione online di Kaspersky sviluppata dagli esperti del GReAT.
⦁ Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante introdurre in azienda la formazione sulla security awareness e insegnare le policy da applicare ai team, ad esempio attraverso la ⦁ Kaspersky Automated Security Awareness Platform.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
