تسمح إحدى ميزات الأجهزة غير الموثقة مسبقًا داخل نظام iPhone الخاص بشركة Apple على شريحة (SoC) باستغلال نقاط الضعف المتعددة، مما يسمح في النهاية للمهاجمين بتجاوز حماية الذاكرة المستندة إلى الأجهزة.
تلعب الثغرة الأمنية دورًا مركزيًا في حملة "عملية التثليث" المتطورة والتهديدات المستمرة المتقدمة (APT) تقرير من فريق البحث والتحليل العالمي (GReAT) التابع لـ Kaspersky.
• عملية التثليث حملة تجسس للتجسس الإلكتروني على iOS كانت موجودة منذ عام 2019 واستخدمت ثغرات أمنية متعددة مثل صفر يوم لتجاوز الإجراءات الأمنية في أجهزة iPhone، مما يشكل خطرًا مستمرًا على خصوصية المستخدمين وأمنهم. وشملت الأهداف دبلوماسيين روسًا ومسؤولين آخرين هناك، بالإضافة إلى شركات خاصة مثل كاسبرسكي نفسها.
في شهر يونيو، أصدرت شركة Kaspersky ملفًا تقرير تقديم تفاصيل إضافية حول برنامج التجسس TriangleDB المستخدم في الحملة، مع تسليط الضوء على العديد من القدرات الفريدة، على سبيل المثال الميزات المعطلة التي يمكن نشرها في المستقبل.
هذا الأسبوع، قدم الفريق أحدث النتائج التي توصلوا إليها في مؤتمر الفوضى السابع والثلاثين في هامبورغ، ألمانيا، واصفين إياها بأنها "سلسلة الهجوم الأكثر تطورًا" التي شهدوا استخدامها حتى الآن في العملية.
يتم توجيه هجوم النقر الصفري إلى تطبيق iMessage الخاص بجهاز iPhone، ويستهدف إصدارات iOS حتى iOS 16.2. عندما شوهد لأول مرة، كان يستغل أربعة أيام صفر مع طبقات هجوم معقدة التنظيم.
داخل هجوم الهاتف المحمول "عملية التثليث" بنقرة صفر
يبدأ الهجوم ببراءة عندما تقوم الجهات الخبيثة بإرسال مرفق iMessage، مستغلة ثغرة تنفيذ التعليمات البرمجية عن بعد (RCE) CVE-2023-41990.
يستهدف هذا الاستغلال تعليمات خط ADJUST TrueType غير الموثقة والحصرية لشركة Apple، والموجودة منذ أوائل التسعينيات قبل التصحيح اللاحق.
يتعمق تسلسل الهجوم بعد ذلك بشكل أعمق، مستفيدًا من البرمجة الموجهة للعودة/القفز ومراحل لغة الاستعلام NSExpression/NSPredicate لمعالجة مكتبة JavaScriptCore.
قام المهاجمون بتضمين استغلال التصعيد المتميز في جافا سكريبت، وتم تعتيمه بعناية لإخفاء محتواه، والذي يمتد على ما يقرب من 11,000 سطر من التعليمات البرمجية.
يستغل JavaScript المعقد هذا المناورات من خلال ذاكرة JavaScriptCore وينفذ وظائف واجهة برمجة التطبيقات الأصلية من خلال استغلال ميزة تصحيح أخطاء JavaScriptCore DollarVM ($vm).
استغلال ثغرة أمنية في تجاوز عدد صحيح يتم تعقبها كـ CVE-2023-32434 ضمن مكالمات نظام تعيين ذاكرة XNU، يحصل المهاجمون بعد ذلك على وصول غير مسبوق للقراءة/الكتابة إلى الذاكرة الفعلية للجهاز على مستوى المستخدم.
علاوة على ذلك، فإنها تتجاوز ببراعة طبقة حماية الصفحة (PPL) باستخدام سجلات الإدخال/الإخراج (MMIO) المعينة لذاكرة الأجهزة، وهي ثغرة أمنية مثيرة للقلق تم استغلاله باعتباره يوم الصفر من قبل مجموعة عملية التثليث ولكن تم تناولها في النهاية على أنها CVE-2023-38606 من شركة آبل.
عند اختراق دفاعات الجهاز، يمارس المهاجمون سيطرة انتقائية من خلال بدء عملية IMAgent، وحقن حمولة لإزالة أي آثار استغلال.
وبعد ذلك، يبدأون عملية Safari غير مرئية يتم إعادة توجيهها إلى صفحة ويب تحتوي على المرحلة التالية من الاستغلال.
تقوم صفحة الويب بالتحقق من الضحية، وبعد المصادقة الناجحة، يتم تشغيل استغلال Safari باستخدام CVE-2023-32435 لتنفيذ كود القشرة.
يقوم كود القشرة هذا بتنشيط استغلال kernel آخر في شكل ملف كائن Mach، مع الاستفادة من اثنين من نفس CVEs المستخدمة في المراحل السابقة (CVE-2023-32434 وCVE-2023-38606).
بمجرد الحصول على امتيازات الجذر، يقوم المهاجمون بتنسيق مراحل إضافية، وفي النهاية يقومون بتثبيت برامج التجسس.
تطور متزايد في الهجمات الإلكترونية على أجهزة iPhone
وأشار التقرير إلى أن الهجوم المعقد والمتعدد المراحل يمثل مستوى غير مسبوق من التطور، حيث يستغل نقاط الضعف المتنوعة عبر أجهزة iOS ويثير المخاوف بشأن المشهد المتطور للتهديدات السيبرانية.
يوضح بوريس لارين، الباحث الأمني الرئيسي في كاسبرسكي، أن الثغرة الأمنية الجديدة في الأجهزة ربما تعتمد على مبدأ "الأمن من خلال الغموض"، وربما كان المقصود منها الاختبار أو تصحيح الأخطاء.
ويقول: "بعد هجوم iMessage الأولي بنقرة صفرية وتصعيد الامتيازات اللاحق، استفاد المهاجمون من الميزة لتجاوز وسائل الحماية الأمنية القائمة على الأجهزة والتلاعب بمحتويات مناطق الذاكرة المحمية". "كانت هذه الخطوة حاسمة للحصول على السيطرة الكاملة على الجهاز."
ويضيف أنه على حد علم فريق كاسبرسكي، لم يتم توثيق هذه الميزة علنًا، ولا يتم استخدامها بواسطة البرامج الثابتة، مما يمثل تحديًا كبيرًا في اكتشافها وتحليلها باستخدام أساليب الأمان التقليدية.
يقول لارين: "إذا كنا نتحدث عن أجهزة iOS، فنظرًا للطبيعة المغلقة لهذه الأنظمة، فمن الصعب حقًا اكتشاف مثل هذه الهجمات". "إن طرق الكشف الوحيدة المتاحة لهذه هي إجراء تحليل لحركة مرور الشبكة وتحليل الطب الشرعي للنسخ الاحتياطية للجهاز التي تم إنشاؤها باستخدام iTunes."
ويوضح أنه على النقيض من ذلك، تعد أنظمة macOS لسطح المكتب والكمبيوتر المحمول أكثر انفتاحًا، وبالتالي تتوفر طرق اكتشاف أكثر فعالية لها.
"من الممكن التثبيت على هذه الأجهزة الكشف عن نقطة النهاية والاستجابة لها (EDR) ويشير لارين إلى الحلول التي يمكن أن تساعد في اكتشاف مثل هذه الهجمات.
ويوصي بأن تقوم فرق الأمان بتحديث نظام التشغيل والتطبيقات وبرامج مكافحة الفيروسات الخاصة بها بانتظام؛ تصحيح أي نقاط ضعف معروفة؛ وتزويد فرق SOC الخاصة بهم بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات.
"تنفيذ حلول EDR للكشف عن الحوادث على مستوى نقطة النهاية والتحقيق فيها ومعالجتها في الوقت المناسب، وإعادة التشغيل يوميًا لتعطيل الإصابات المستمرة، وتعطيل iMessage وFacetime لتقليل مخاطر استغلال النقرات الصفرية، وتثبيت تحديثات iOS على الفور للحماية من الثغرات الأمنية المعروفة،" لارين يضيف.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
