जेफिरनेट लोगो

जनरेटिव डेटा इंटेलिजेंस

साइबर सुरक्षा

'ऑपरेशन ट्रायंगुलेशन' स्पाइवेयर हमलावर iPhone मेमोरी सुरक्षा को बायपास करते हैं

प्लेटो द्वारा पुनर्प्रकाशित
प्लेटो द्वारा पुनर्प्रकाशित

दिनांक:

दृश्य: 150

Apple के iPhone सिस्टम ऑन ए चिप (SoC) के भीतर पहले से अप्रलेखित हार्डवेयर सुविधा कई कमजोरियों के शोषण की अनुमति देती है, अंततः हमलावरों को हार्डवेयर-आधारित मेमोरी सुरक्षा को बायपास करने देती है।

एक के अनुसार, भेद्यता परिष्कृत उन्नत लगातार खतरे (एपीटी) "ऑपरेशन ट्रायंगुलेशन" शून्य-क्लिक अभियान में एक केंद्रीय भूमिका निभाती है। रिपोर्ट कैस्परस्की की वैश्विक अनुसंधान और विश्लेषण टीम (GReAT) से।

RSI ऑपरेशन ट्रायंगुलेशन आईओएस साइबर जासूसी जासूसी अभियान यह 2019 से अस्तित्व में है और इसने iPhones में सुरक्षा उपायों को बायपास करने के लिए शून्य-दिनों के रूप में कई कमजोरियों का उपयोग किया है, जिससे उपयोगकर्ताओं की गोपनीयता और सुरक्षा के लिए लगातार खतरा पैदा हो गया है। लक्ष्य में रूसी राजनयिक और वहां के अन्य अधिकारी, साथ ही कास्परस्की जैसे निजी उद्यम भी शामिल हैं।

जून में, कास्परस्की ने एक जारी किया रिपोर्ट अभियान में उपयोग किए गए ट्राइएंगलडीबी स्पाइवेयर इम्प्लांट पर अतिरिक्त विवरण प्रदान करते हुए, कई अनूठी क्षमताओं पर प्रकाश डाला गया, उदाहरण के लिए अक्षम सुविधाएँ जिन्हें भविष्य में तैनात किया जा सकता है।

इस सप्ताह, टीम ने जर्मनी के हैम्बर्ग में 37वीं कैओस कम्युनिकेशन कांग्रेस में अपने सबसे हालिया निष्कर्ष प्रस्तुत किए, इसे "सबसे परिष्कृत हमला श्रृंखला" कहा, जिसे उन्होंने अभी तक ऑपरेशन में इस्तेमाल होते देखा है।

जीरो-क्लिक आक्रमण iPhone के iMessage ऐप पर निर्देशित है, जिसका लक्ष्य iOS 16.2 तक के iOS संस्करण हैं। जब इसे पहली बार देखा गया, तो यह हमले की जटिल संरचित परतों के साथ चार शून्य-दिनों का फायदा उठा रहा था।

'ऑपरेशन ट्रायंगुलेशन' जीरो-क्लिक मोबाइल अटैक के अंदर

हमला मासूमियत से शुरू होता है क्योंकि दुर्भावनापूर्ण अभिनेता रिमोट कोड निष्पादन (आरसीई) भेद्यता का फायदा उठाते हुए एक iMessage अनुलग्नक भेजते हैं CVE-2023-41990.

यह शोषण Apple के लिए विशेष रूप से गैर-दस्तावेजी ADJUST ट्रू टाइप फ़ॉन्ट निर्देश को लक्षित करता है, जो बाद के पैच से पहले नब्बे के दशक की शुरुआत से मौजूद है।

इसके बाद हमले का क्रम गहराई तक जाता है, जावास्क्रिप्टकोर लाइब्रेरी में हेरफेर करने के लिए रिटर्न/जंप ओरिएंटेड प्रोग्रामिंग और एनएसईएक्सप्रेशन/एनएसप्रेडिकेट क्वेरी भाषा चरणों का लाभ उठाता है।

हमलावरों ने जावास्क्रिप्ट में एक विशेषाधिकार प्राप्त एस्केलेशन शोषण को एम्बेड किया है, इसकी सामग्री को छिपाने के लिए सावधानीपूर्वक अस्पष्ट किया गया है, जो कोड की लगभग 11,000 पंक्तियों तक फैली हुई है।

यह जटिल जावास्क्रिप्ट जावास्क्रिप्टकोर की मेमोरी के माध्यम से युद्धाभ्यास का फायदा उठाता है और जावास्क्रिप्टकोर डिबगिंग सुविधा डॉलरवीएम ($vm) का फायदा उठाकर मूल एपीआई कार्यों को निष्पादित करता है।

एक पूर्णांक अतिप्रवाह भेद्यता का शोषण के रूप में ट्रैक किया गया CVE-2023-32434 XNU की मेमोरी मैपिंग सिस्कॉल के भीतर, हमलावर उपयोगकर्ता स्तर पर डिवाइस की भौतिक मेमोरी तक अभूतपूर्व पढ़ने/लिखने की पहुंच प्राप्त करते हैं।

इसके अलावा, वे हार्डवेयर मेमोरी-मैप्ड I/O (MMIO) रजिस्टरों का उपयोग करके पेज प्रोटेक्शन लेयर (PPL) को चतुराई से बायपास करते हैं, जो एक चिंताजनक भेद्यता है। ऑपरेशन ट्रायंगुलेशन समूह द्वारा शून्य-दिवस के रूप में उपयोग किया गया लेकिन अंततः इस रूप में संबोधित किया गया CVE-2023-38606 एप्पल द्वारा.

डिवाइस की सुरक्षा में घुसने पर, हमलावर किसी भी शोषण के निशान को साफ़ करने के लिए पेलोड इंजेक्ट करके, IMAgent प्रक्रिया शुरू करके चयनात्मक नियंत्रण का प्रयोग करते हैं।

इसके बाद, वे शोषण के अगले चरण वाले वेब पेज पर पुनर्निर्देशित एक अदृश्य सफ़ारी प्रक्रिया शुरू करते हैं।

वेब पेज पीड़ित का सत्यापन करता है और, सफल प्रमाणीकरण पर, सफ़ारी शोषण को ट्रिगर करता है CVE-2023-32435 शेलकोड निष्पादित करने के लिए।

यह शेलकोड मैक ऑब्जेक्ट फ़ाइल के रूप में एक और कर्नेल शोषण को सक्रिय करता है, जो पिछले चरणों (सीवीई-2023-32434 और सीवीई-2023-38606) में उपयोग किए गए दो समान सीवीई का लाभ उठाता है।

एक बार रूट विशेषाधिकार प्राप्त करने के बाद, हमलावर अतिरिक्त चरणों की योजना बनाते हैं, अंततः स्पाइवेयर स्थापित करते हैं।

iPhone साइबर हमलों में बढ़ती जटिलता

रिपोर्ट में कहा गया है कि जटिल, बहु-चरणीय हमला अभूतपूर्व स्तर का परिष्कार प्रस्तुत करता है, जो आईओएस उपकरणों में विभिन्न कमजोरियों का फायदा उठाता है और साइबर खतरों के उभरते परिदृश्य पर चिंताएं बढ़ाता है।

कैसपर्सकी के प्रमुख सुरक्षा शोधकर्ता बोरिस लारिन बताते हैं कि नई हार्डवेयर भेद्यता संभवतः "अस्पष्टता के माध्यम से सुरक्षा" के सिद्धांत पर आधारित है और इसका उद्देश्य परीक्षण या डिबगिंग करना हो सकता है।

"प्रारंभिक शून्य-क्लिक iMessage हमले और उसके बाद विशेषाधिकार वृद्धि के बाद, हमलावरों ने हार्डवेयर-आधारित सुरक्षा सुरक्षा को बायपास करने और संरक्षित मेमोरी क्षेत्रों की सामग्री में हेरफेर करने के लिए सुविधा का लाभ उठाया," वे कहते हैं। "डिवाइस पर पूर्ण नियंत्रण प्राप्त करने के लिए यह कदम महत्वपूर्ण था।"

उन्होंने आगे कहा कि जहां तक ​​कैस्परस्की टीम को जानकारी है, इस सुविधा को सार्वजनिक रूप से प्रलेखित नहीं किया गया था, और इसका फर्मवेयर द्वारा उपयोग नहीं किया गया है, जो पारंपरिक सुरक्षा तरीकों का उपयोग करके इसका पता लगाने और विश्लेषण में एक महत्वपूर्ण चुनौती पेश करता है।

लारिन कहते हैं, "अगर हम आईओएस उपकरणों के बारे में बात कर रहे हैं, तो इन प्रणालियों की बंद प्रकृति के कारण, ऐसे हमलों का पता लगाना वाकई मुश्किल है।" "इनके लिए उपलब्ध एकमात्र पता लगाने के तरीके नेटवर्क ट्रैफ़िक विश्लेषण और आईट्यून्स के साथ बनाए गए डिवाइस बैकअप का फोरेंसिक विश्लेषण करना है।"

वह बताते हैं कि इसके विपरीत, डेस्कटॉप और लैपटॉप मैकओएस सिस्टम अधिक खुले हैं और इसलिए, इनके लिए अधिक प्रभावी पता लगाने के तरीके उपलब्ध हैं।

“इन उपकरणों पर इसे इंस्टॉल करना संभव है समापन बिंदु का पता लगाने और प्रतिक्रिया (EDR) ऐसे समाधान जो ऐसे हमलों का पता लगाने में मदद कर सकते हैं," लारिन कहते हैं।

उनका सुझाव है कि सुरक्षा टीमें अपने ऑपरेटिंग सिस्टम, एप्लिकेशन और एंटीवायरस सॉफ़्टवेयर को नियमित रूप से अपडेट करें; किसी भी ज्ञात कमज़ोरियों को ठीक करें; और उनकी एसओसी टीमों को नवीनतम खतरे की खुफिया जानकारी तक पहुंच प्रदान करते हैं।

"एंडपॉइंट-स्तर का पता लगाने, जांच करने और घटनाओं के समय पर निवारण के लिए ईडीआर समाधान लागू करें, लगातार संक्रमण को बाधित करने के लिए दैनिक रीबूट करें, शून्य-क्लिक शोषण जोखिमों को कम करने के लिए iMessage और Facetime को अक्षम करें, और ज्ञात कमजोरियों से बचाने के लिए तुरंत iOS अपडेट इंस्टॉल करें," लारिन जोड़ता है.

स्पॉट_आईएमजी

नवीनतम खुफिया

स्पॉट_आईएमजी

कॉपीराइट @ 2024 प्लेटो टेक्नोलॉजीज इंक।