Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Virus | malwares | cyberintrusion

Nous avons découvert une attaque ciblée contre nos employés, impliquant un cheval de Troie nommé #IOSTriangulation. | Chaîne d’attaque de l’opération « Triangulation »


jeudi 1 juin 2023

Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté​1​.

En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires​1​.

Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale​1​.

En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro​1​.

Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre​1​.

Ce que nous savons jusqu’à présent

Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé « timeline.csv », similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.

En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :

    1. Le dispositif iOS cible reçoit un message via le service iMessage, avec une pièce jointe contenant une exploitation.
    2. Sans aucune interaction de l’utilisateur, le message déclenche une vulnérabilité qui conduit à l’exécution de code.
    3. Le code à l’intérieur de l’exploit télécharge plusieurs étapes subséquentes depuis le serveur C&C, qui incluent des exploits supplémentaires pour l’escalade de privilèges.
    4. Après une exploitation réussie, une charge utile finale est téléchargée depuis le serveur C&C, qui est une plateforme APT entièrement fonctionnelle.
    5. Le message initial et l’exploit dans la pièce jointe sont supprimés.

L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.

L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.

Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un « boîte noire » où un logiciel espion comme Triangulation peut se cacher pendant des années​1​.

Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée​1​.

Le logiciel espion a été nommé « Triangulation » parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil​1​.

Lire l’intégralité de l’article sur :


TriangleDB : l’implant du logiciel espion de l’opération Triangulation

Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils.

L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :

  • Manipulation des fichiers (création, modification, suppression et exfiltration) ;
  • Manipulation des processus d’exécution (obtenir une liste et mettre fin aux processus) ;
  • Exfiltration des éléments du trousseau d’iOS, qui contient les certificats, les identités numériques et/ou les identifiants de divers services ;
  • Partage des données de géolocalisation, dont les coordonnées, l’altitude, la vitesse et la direction des mouvements.

L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité).

MAJ 29/06/23


Aujourd’hui, le 27 décembre 2023, nous (Boris LarinLeonid Bezvershenko et Georgy Kucherin) avons fait une présentation intitulée « Operation Triangulation : What You Get When Attack iPhones of Researchers », lors du 37e Chaos Communication Congress (37C3), qui s’est tenu au Congress Center Hamburg. Cette présentation résume les résultats de nos recherches à long terme sur l’opération Triangulation, menées avec nos collègues Igor KuznetsovValentin Pashkov et Mikhail Vinogradov.

C’était également la première fois que nous divulguions publiquement les détails de tous les exploits et vulnérabilités utilisés dans l’attaque. Nous découvrons et analysons quotidiennement de nouveaux exploits et de nouvelles attaques utilisant ces vulnérabilités, et nous avons découvert et signalé plus de trente failles dans les produits Adobe, Apple, Google et Microsoft, mais il s’agit sans aucun doute de la chaîne d’attaque la plus sophistiquée que nous ayons jamais vue.

Chaîne d’attaque de l’opération « Triangulation

Voici un résumé rapide de cette attaque iMessage en 0 clic, qui a utilisé quatre zero-days et a été conçue pour fonctionner sur les versions d’iOS jusqu’à iOS 16.2.

  • Les attaquants envoient une pièce jointe iMessage malveillante, que l’application traite sans rien montrer à l’utilisateur.
  • Cette pièce jointe exploite la vulnérabilité d’exécution de code à distance CVE-2023-41990 dans l’instruction de police TrueType ADJUST, non documentée et réservée à Apple. Cette instruction existait depuis le début des années 90 avant qu’un correctif ne la supprime.
  • Il utilise une programmation orientée retour/saut et plusieurs étapes écrites dans le langage de requête NSExpression/NSPredicate, en corrigeant l’environnement de la bibliothèque JavaScriptCore pour exécuter un exploit d’élévation de privilèges écrit en JavaScript.
  • Cet exploit JavaScript est obscurci afin de le rendre totalement illisible et de minimiser sa taille. Il comporte néanmoins environ 11 000 lignes de code, principalement consacrées au JavaScriptCore et à l’analyse et à la manipulation de la mémoire du noyau.
  • Il exploite la fonction de débogage de JavaScriptCore DollarVM ($vm) pour obtenir la possibilité de manipuler la mémoire de JavaScriptCore à partir du script et d’exécuter des fonctions API natives.
  • Il a été conçu pour prendre en charge à la fois les anciens et les nouveaux iPhones et comprend un contournement du code d’authentification Pointer (PAC) pour l’exploitation des modèles récents.
  • Il utilise la vulnérabilité de débordement d’entier CVE-2023-32434 dans les syscalls de mappage de mémoire de XNU (mach_make_memory_entry et vm_map) pour obtenir un accès en lecture/écriture à l’ensemble de la mémoire physique de l’appareil au niveau de l’utilisateur.
  • Il utilise les registres d’entrées/sorties mappées en mémoire (MMIO) pour contourner la couche de protection des pages (PPL). Ce problème a été résolu par la CVE-2023-38606.
  • Après avoir exploité toutes les vulnérabilités, l’exploit JavaScript peut faire ce qu’il veut sur l’appareil, y compris exécuter un logiciel espion : (a) de lancer le processus IMAgent et d’injecter une charge utile qui efface les artefacts d’exploitation de l’appareil ; (b) d’exécuter un processus Safari en mode invisible et de le transmettre à une page web avec l’étape suivante.
  • La page web contient un script qui vérifie la victime et, si les vérifications sont positives, reçoit l’étape suivante : l’exploit Safari.
  • L’exploit Safari utilise CVE-2023-32435 pour exécuter un shellcode.
  • Le shellcode exécute un autre exploit du noyau sous la forme d’un fichier objet Mach. Il utilise les mêmes vulnérabilités : CVE-2023-32434 et CVE-2023-38606. Il est également massif en termes de taille et de fonctionnalité, mais complètement différent de l’exploit du noyau écrit en JavaScript. Certaines parties liées à l’exploitation des vulnérabilités susmentionnées sont tout ce que les deux partagent. Toutefois, la majeure partie de son code est également consacrée à l’analyse et à la manipulation de la mémoire du noyau. Il contient divers utilitaires post-exploitation, qui sont pour la plupart inutilisés.
  • L’exploit obtient les privilèges root et procède à l’exécution d’autres étapes, qui chargent des logiciels espions. Nous avons abordé ces étapes dans nos articles précédents.

…/…

L’intégralité de l’article est à suivre sur :


Views: 2


En savoir plus sur EurNet | Votre intégrateur de confiance en sécurité informatique avec Kaspersky

Subscribe to get the latest posts sent to your email.

Nous avons découvert une attaque ciblée contre nos employés, impliquant un cheval de Troie nommé #IOSTriangulation. | Chaîne d’attaque de l’opération « Triangulation »

Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté​1​. En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires​1​. Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale​1​. En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro​1​. Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre​1​. Ce que nous savons jusqu’à présent

Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé « timeline.csv », similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.

En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :

    1. Le dispositif iOS cible reçoit un message via le service iMessage, avec une pièce jointe contenant une exploitation.
    2. Sans aucune interaction de l’utilisateur, le message déclenche une vulnérabilité qui conduit à l’exécution de code.
    3. Le code à l’intérieur de l’exploit télécharge plusieurs étapes subséquentes depuis le serveur C&C, qui incluent des exploits supplémentaires pour l’escalade de privilèges.
    4. Après une exploitation réussie, une charge utile finale est téléchargée depuis le serveur C&C, qui est une plateforme APT entièrement fonctionnelle.
    5. Le message initial et l’exploit dans la pièce jointe sont supprimés.

L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.

L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.

Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un « boîte noire » où un logiciel espion comme Triangulation peut se cacher pendant des années​1​. Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée​1​. Le logiciel espion a été nommé « Triangulation » parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil​1​. Lire l’intégralité de l’article sur :

TriangleDB : l’implant du logiciel espion de l’opération Triangulation

Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils. L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
  • Manipulation des fichiers (création, modification, suppression et exfiltration) ;
  • Manipulation des processus d’exécution (obtenir une liste et mettre fin aux processus) ;
  • Exfiltration des éléments du trousseau d’iOS, qui contient les certificats, les identités numériques et/ou les identifiants de divers services ;
  • Partage des données de géolocalisation, dont les coordonnées, l’altitude, la vitesse et la direction des mouvements.
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité). MAJ 29/06/23

Aujourd’hui, le 27 décembre 2023, nous (Boris LarinLeonid Bezvershenko et Georgy Kucherin) avons fait une présentation intitulée « Operation Triangulation : What You Get When Attack iPhones of Researchers », lors du 37e Chaos Communication Congress (37C3), qui s’est tenu au Congress Center Hamburg. Cette présentation résume les résultats de nos recherches à long terme sur l’opération Triangulation, menées avec nos collègues Igor KuznetsovValentin Pashkov et Mikhail Vinogradov.

C’était également la première fois que nous divulguions publiquement les détails de tous les exploits et vulnérabilités utilisés dans l’attaque. Nous découvrons et analysons quotidiennement de nouveaux exploits et de nouvelles attaques utilisant ces vulnérabilités, et nous avons découvert et signalé plus de trente failles dans les produits Adobe, Apple, Google et Microsoft, mais il s’agit sans aucun doute de la chaîne d’attaque la plus sophistiquée que nous ayons jamais vue.

Chaîne d’attaque de l’opération « Triangulation

Voici un résumé rapide de cette attaque iMessage en 0 clic, qui a utilisé quatre zero-days et a été conçue pour fonctionner sur les versions d’iOS jusqu’à iOS 16.2.

  • Les attaquants envoient une pièce jointe iMessage malveillante, que l’application traite sans rien montrer à l’utilisateur.
  • Cette pièce jointe exploite la vulnérabilité d’exécution de code à distance CVE-2023-41990 dans l’instruction de police TrueType ADJUST, non documentée et réservée à Apple. Cette instruction existait depuis le début des années 90 avant qu’un correctif ne la supprime.
  • Il utilise une programmation orientée retour/saut et plusieurs étapes écrites dans le langage de requête NSExpression/NSPredicate, en corrigeant l’environnement de la bibliothèque JavaScriptCore pour exécuter un exploit d’élévation de privilèges écrit en JavaScript.
  • Cet exploit JavaScript est obscurci afin de le rendre totalement illisible et de minimiser sa taille. Il comporte néanmoins environ 11 000 lignes de code, principalement consacrées au JavaScriptCore et à l’analyse et à la manipulation de la mémoire du noyau.
  • Il exploite la fonction de débogage de JavaScriptCore DollarVM ($vm) pour obtenir la possibilité de manipuler la mémoire de JavaScriptCore à partir du script et d’exécuter des fonctions API natives.
  • Il a été conçu pour prendre en charge à la fois les anciens et les nouveaux iPhones et comprend un contournement du code d’authentification Pointer (PAC) pour l’exploitation des modèles récents.
  • Il utilise la vulnérabilité de débordement d’entier CVE-2023-32434 dans les syscalls de mappage de mémoire de XNU (mach_make_memory_entry et vm_map) pour obtenir un accès en lecture/écriture à l’ensemble de la mémoire physique de l’appareil au niveau de l’utilisateur.
  • Il utilise les registres d’entrées/sorties mappées en mémoire (MMIO) pour contourner la couche de protection des pages (PPL). Ce problème a été résolu par la CVE-2023-38606.
  • Après avoir exploité toutes les vulnérabilités, l’exploit JavaScript peut faire ce qu’il veut sur l’appareil, y compris exécuter un logiciel espion : (a) de lancer le processus IMAgent et d’injecter une charge utile qui efface les artefacts d’exploitation de l’appareil ; (b) d’exécuter un processus Safari en mode invisible et de le transmettre à une page web avec l’étape suivante.
  • La page web contient un script qui vérifie la victime et, si les vérifications sont positives, reçoit l’étape suivante : l’exploit Safari.
  • L’exploit Safari utilise CVE-2023-32435 pour exécuter un shellcode.
  • Le shellcode exécute un autre exploit du noyau sous la forme d’un fichier objet Mach. Il utilise les mêmes vulnérabilités : CVE-2023-32434 et CVE-2023-38606. Il est également massif en termes de taille et de fonctionnalité, mais complètement différent de l’exploit du noyau écrit en JavaScript. Certaines parties liées à l’exploitation des vulnérabilités susmentionnées sont tout ce que les deux partagent. Toutefois, la majeure partie de son code est également consacrée à l’analyse et à la manipulation de la mémoire du noyau. Il contient divers utilitaires post-exploitation, qui sont pour la plupart inutilisés.
  • L’exploit obtient les privilèges root et procède à l’exécution d’autres étapes, qui chargent des logiciels espions. Nous avons abordé ces étapes dans nos articles précédents.
…/… L’intégralité de l’article est à suivre sur :

Views: 2


En savoir plus sur EurNet | Votre intégrateur de confiance en sécurité informatique avec Kaspersky

Subscribe to get the latest posts sent to your email.

Nous avons découvert une attaque ciblée contre nos employés, impliquant un cheval de Troie nommé #IOSTriangulation. | Chaîne d’attaque de l’opération « Triangulation »

Les experts de Kaspersky ont découvert une cyberattaque ciblée très complexe et professionnelle qui utilise les appareils mobiles d’Apple. Le but de l’attaque est de placer de manière discrète un logiciel espion dans les iPhones des employés de l’entreprise, y compris le personnel de direction. L’attaque est menée à l’aide d’un iMessage invisible contenant une pièce jointe malveillante, qui exploite plusieurs vulnérabilités de l’OS iOS, s’exécute sur un appareil et installe un logiciel espion. Le déploiement du logiciel espion est totalement caché et ne nécessite aucune action de la part de l’utilisateur. Le logiciel espion transmet ensuite discrètement des informations privées aux serveurs distants : enregistrements de micro, photos de messageries instantanées, géolocalisation et données sur plusieurs autres activités du propriétaire de l’appareil infecté​1​. En raison de la nature fermée d’iOS, il n’y a pas (et ne peut pas y avoir) d’outils standard du système d’exploitation pour détecter et supprimer ce logiciel espion sur les smartphones infectés. Pour cela, des outils externes sont nécessaires​1​. Une indication indirecte de la présence de Triangulation (le nom donné au logiciel espion) sur l’appareil est la désactivation de la possibilité de mettre à jour iOS. Pour une reconnaissance plus précise et fiable d’une infection réelle, une copie de sauvegarde de l’appareil doit être réalisée et ensuite vérifiée avec une utilité spéciale​1​. En raison de certaines particularités inhérentes au blocage des mises à jour d’iOS sur les appareils infectés, ils n’ont pas encore trouvé un moyen efficace de supprimer le logiciel espion sans perdre les données de l’utilisateur. Cela ne peut être fait qu’en réinitialisant les iPhones infectés aux paramètres d’usine et en installant la dernière version du système d’exploitation et de l’environnement utilisateur à partir de zéro​1​. Le rapport sur Triangulation ne représente que le début de l’enquête sur cette attaque sophistiquée. Kaspersky publiera ses résultats définitifs lors du Sommet international des analystes de sécurité en octobre​1​. Ce que nous savons jusqu’à présent

Les sauvegardes de dispositifs mobiles contiennent une copie partielle du système de fichiers, incluant certaines données de l’utilisateur et les bases de données de services. Les horodatages des fichiers, dossiers et des enregistrements de la base de données permettent de reconstruire approximativement les événements survenus sur le dispositif. L’utilitaire mvt-ios produit une chronologie ordonnée des événements dans un fichier appelé « timeline.csv », similaire à une super-chronologie utilisée par les outils numériques conventionnels de la médecine légale.

En utilisant cette chronologie, nous avons pu identifier des artefacts spécifiques qui indiquent le compromis. Cela a permis d’avancer dans la recherche, et de reconstruire la séquence générale d’infection :

    1. Le dispositif iOS cible reçoit un message via le service iMessage, avec une pièce jointe contenant une exploitation.
    2. Sans aucune interaction de l’utilisateur, le message déclenche une vulnérabilité qui conduit à l’exécution de code.
    3. Le code à l’intérieur de l’exploit télécharge plusieurs étapes subséquentes depuis le serveur C&C, qui incluent des exploits supplémentaires pour l’escalade de privilèges.
    4. Après une exploitation réussie, une charge utile finale est téléchargée depuis le serveur C&C, qui est une plateforme APT entièrement fonctionnelle.
    5. Le message initial et l’exploit dans la pièce jointe sont supprimés.

L’ensemble d’outils malveillants ne supporte pas la persistance, probablement à cause des limitations de l’OS. Les chronologies de plusieurs dispositifs indiquent qu’ils peuvent être réinfectés après un redémarrage. Les plus anciennes traces d’infection que nous avons découvertes datent de 2019. Au moment de la rédaction en juin 2023, l’attaque est en cours, et la version la plus récente des dispositifs ciblés avec succès est iOS 15.7.

L’analyse de la charge utile finale n’est pas encore terminée. Le code est exécuté avec des privilèges de root, met en œuvre un ensemble de commandes pour collecter les informations du système et de l’utilisateur, et peut exécuter un code arbitraire téléchargé en tant que modules de plugin depuis le serveur C&C.

Kaspersky est convaincu qu’il n’était pas la cible principale de cette cyberattaque. Ils estiment que le principal responsable de cet incident est la nature propriétaire d’iOS, un « boîte noire » où un logiciel espion comme Triangulation peut se cacher pendant des années​1​. Cependant, grâce aux mesures prises, les processus commerciaux et les données des utilisateurs n’ont pas été affectés et la menace a été neutralisée​1​. Le logiciel espion a été nommé « Triangulation » parce qu’il utilise la technologie Canvas Fingerprinting pour reconnaître les spécifications logicielles et matérielles du système attaqué, et dessine un triangle jaune dans la mémoire de l’appareil​1​. Lire l’intégralité de l’article sur :

TriangleDB : l’implant du logiciel espion de l’opération Triangulation

Les opérateurs d’APT s’intéressent de plus en plus aux appareils mobiles. Nos experts ont étudié un de leurs outils. L’analyse de cet implant n’a pas été facile puisqu’il ne fonctionne que dans la mémoire du téléphone et ne laisse aucune trace dans le système. De plus, le redémarrage supprime complètement toutes les traces d’attaque et le programme malveillant dispose d’un temporisateur d’autodestruction qui s’active automatiquement 30 jours après l’infection initiale (si les opérateurs ont décidé de ne pas envoyer d’ordre pour prolonger son temps de travail). Certaines des fonctionnalités de base de l’implant sont les suivantes :
  • Manipulation des fichiers (création, modification, suppression et exfiltration) ;
  • Manipulation des processus d’exécution (obtenir une liste et mettre fin aux processus) ;
  • Exfiltration des éléments du trousseau d’iOS, qui contient les certificats, les identités numériques et/ou les identifiants de divers services ;
  • Partage des données de géolocalisation, dont les coordonnées, l’altitude, la vitesse et la direction des mouvements.
L’implant peut charger des modules supplémentaires dans la mémoire du téléphone et les exécute. Si vous souhaitez connaître les détails techniques de l’implant, nous vous invitons à lire cet article publié sur le blog de Securelist (destiné aux experts en cybersécurité). MAJ 29/06/23

Aujourd’hui, le 27 décembre 2023, nous (Boris LarinLeonid Bezvershenko et Georgy Kucherin) avons fait une présentation intitulée « Operation Triangulation : What You Get When Attack iPhones of Researchers », lors du 37e Chaos Communication Congress (37C3), qui s’est tenu au Congress Center Hamburg. Cette présentation résume les résultats de nos recherches à long terme sur l’opération Triangulation, menées avec nos collègues Igor KuznetsovValentin Pashkov et Mikhail Vinogradov.

C’était également la première fois que nous divulguions publiquement les détails de tous les exploits et vulnérabilités utilisés dans l’attaque. Nous découvrons et analysons quotidiennement de nouveaux exploits et de nouvelles attaques utilisant ces vulnérabilités, et nous avons découvert et signalé plus de trente failles dans les produits Adobe, Apple, Google et Microsoft, mais il s’agit sans aucun doute de la chaîne d’attaque la plus sophistiquée que nous ayons jamais vue.

Chaîne d’attaque de l’opération « Triangulation

Voici un résumé rapide de cette attaque iMessage en 0 clic, qui a utilisé quatre zero-days et a été conçue pour fonctionner sur les versions d’iOS jusqu’à iOS 16.2.

  • Les attaquants envoient une pièce jointe iMessage malveillante, que l’application traite sans rien montrer à l’utilisateur.
  • Cette pièce jointe exploite la vulnérabilité d’exécution de code à distance CVE-2023-41990 dans l’instruction de police TrueType ADJUST, non documentée et réservée à Apple. Cette instruction existait depuis le début des années 90 avant qu’un correctif ne la supprime.
  • Il utilise une programmation orientée retour/saut et plusieurs étapes écrites dans le langage de requête NSExpression/NSPredicate, en corrigeant l’environnement de la bibliothèque JavaScriptCore pour exécuter un exploit d’élévation de privilèges écrit en JavaScript.
  • Cet exploit JavaScript est obscurci afin de le rendre totalement illisible et de minimiser sa taille. Il comporte néanmoins environ 11 000 lignes de code, principalement consacrées au JavaScriptCore et à l’analyse et à la manipulation de la mémoire du noyau.
  • Il exploite la fonction de débogage de JavaScriptCore DollarVM ($vm) pour obtenir la possibilité de manipuler la mémoire de JavaScriptCore à partir du script et d’exécuter des fonctions API natives.
  • Il a été conçu pour prendre en charge à la fois les anciens et les nouveaux iPhones et comprend un contournement du code d’authentification Pointer (PAC) pour l’exploitation des modèles récents.
  • Il utilise la vulnérabilité de débordement d’entier CVE-2023-32434 dans les syscalls de mappage de mémoire de XNU (mach_make_memory_entry et vm_map) pour obtenir un accès en lecture/écriture à l’ensemble de la mémoire physique de l’appareil au niveau de l’utilisateur.
  • Il utilise les registres d’entrées/sorties mappées en mémoire (MMIO) pour contourner la couche de protection des pages (PPL). Ce problème a été résolu par la CVE-2023-38606.
  • Après avoir exploité toutes les vulnérabilités, l’exploit JavaScript peut faire ce qu’il veut sur l’appareil, y compris exécuter un logiciel espion : (a) de lancer le processus IMAgent et d’injecter une charge utile qui efface les artefacts d’exploitation de l’appareil ; (b) d’exécuter un processus Safari en mode invisible et de le transmettre à une page web avec l’étape suivante.
  • La page web contient un script qui vérifie la victime et, si les vérifications sont positives, reçoit l’étape suivante : l’exploit Safari.
  • L’exploit Safari utilise CVE-2023-32435 pour exécuter un shellcode.
  • Le shellcode exécute un autre exploit du noyau sous la forme d’un fichier objet Mach. Il utilise les mêmes vulnérabilités : CVE-2023-32434 et CVE-2023-38606. Il est également massif en termes de taille et de fonctionnalité, mais complètement différent de l’exploit du noyau écrit en JavaScript. Certaines parties liées à l’exploitation des vulnérabilités susmentionnées sont tout ce que les deux partagent. Toutefois, la majeure partie de son code est également consacrée à l’analyse et à la manipulation de la mémoire du noyau. Il contient divers utilitaires post-exploitation, qui sont pour la plupart inutilisés.
  • L’exploit obtient les privilèges root et procède à l’exécution d’autres étapes, qui chargent des logiciels espions. Nous avons abordé ces étapes dans nos articles précédents.
…/… L’intégralité de l’article est à suivre sur :

Views: 2


En savoir plus sur EurNet | Votre intégrateur de confiance en sécurité informatique avec Kaspersky

Subscribe to get the latest posts sent to your email.

 

En savoir plus sur EurNet | Votre intégrateur de confiance en sécurité informatique avec Kaspersky

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading