新报告揭露三角测量行动针对 iOS 设备植入的间谍软件插图

最近有一份新的报告指出,三角测量行动(Operation Triangulation)针对 iOS 设备进行了间谍软件的植入,在攻击行动中使用了零点击漏洞。这份报告揭露了该恶意软件的细节,也证实了卡巴斯基在今年年初所发现的攻击事件。

针对 iOS 设备的间谍软件植入

卡巴斯基的研究人员指出,攻击者通过利用内核漏洞获得了目标 iOS 设备上的 root 权限,并在内存中部署了植入程序。如果设备重新启动,植入程序的所有痕迹都会消失,攻击者必须通过发送带有恶意附件的 iMessage 来重新感染设备,从而再次执行攻击行动。

新报告揭露三角测量行动针对 iOS 设备植入的间谍软件插图1

TriangleDB: 后门代号

TriangleDB 是这个间谍软件的后门代号,它完全控制设备和用户数据。这个恶意软件部署在内存中,不需要用户采取任何行动,也不会在设备上留下任何痕迹。攻击者通过使用带有恶意附件的不可见 iMessage 进行攻击,利用 iOS 操作系统中的多个漏洞完成部署和安装。

TriangleDB 构成隐蔽框架的关键

TriangleDB 是用 Objective-C 编写的,它与命令和控制 (C2) 服务器建立加密连接,并定期发送包含设备元数据的心跳信标。服务器使用 24 个命令之一响应心跳消息,这些命令可以转储 iCloud Keychain 数据并在内存中加载额外的 Mach-O 模块以收集敏感数据。其中包括文件内容、地理位置、已安装的 iOS 应用程序和正在运行的进程等。攻击最终以删除初始消息来掩盖踪迹。

TriangleDB 可能还会瞄准 macOS 设备

恶意软件作者将字符串解密称为“unmunging”,并将数据库术语中的名称分配给文件(记录)、进程(架构)、C2 服务器(数据库服务器)和地理位置信息(数据库状态)。另一个值得注意的是,TriangleDB 还可以被武器化,以瞄准 macOS 设备。虽然 iOS 植入程序中没有调用此方法,但命名约定提出了这种可能性。

目标未知,但权力范围可扩大

目前,我们还不清楚这个活动的幕后黑手是谁,以及他们的最终目标是什么。不过,卡巴斯基的研究人员发现,植入程序请求了多种权利(权限),包括访问摄像头、麦克风和地址簿,或通过蓝牙与设备交互等。尽管这些权利在代码中没有被使用,但它们授予的功能可以在模块中实现,这表明该恶意软件的权力范围可扩大。

苹果否认插入后门

苹果在早些时候表示,它从未与任何政府合作,在任何苹果产品中插入后门,也永远不会。然而,俄罗斯政府将矛头指向美国,并指责美国侵入了属于国内用户和外国外交官的“数千部”苹果设备,作为其声称的侦察行动的一部分。