Apple의 iPhone SoC(시스템 온 칩) 내에서 이전에 문서화되지 않은 하드웨어 기능을 사용하면 여러 취약점을 악용할 수 있어 결국 공격자가 하드웨어 기반 메모리 보호를 우회할 수 있습니다.
이 취약점은 정교한 지능형 지속 위협(APT) "삼각측량 작전(Operation Triangulation)" 제로 클릭 캠페인에서 중심 역할을 한다고 합니다. 신고 Kaspersky 글로벌 연구 분석팀(GReAT)에서 제공합니다.
XNUMXD덴탈의 Operation Triangulation iOS 사이버 스파이 스파이 캠페인 2019년부터 존재했으며 iPhone의 보안 조치를 우회하기 위해 여러 취약점을 제로데이로 활용하여 사용자의 개인 정보 보호 및 보안에 지속적인 위험을 초래했습니다. 표적에는 러시아 외교관과 기타 관료뿐만 아니라 Kaspersky와 같은 민간 기업도 포함되었습니다.
지난 6월 카스퍼스키는 신고 캠페인에 사용된 TriangleDB 스파이웨어 이식에 대한 추가 세부 정보를 제공하고 향후 배포될 수 있는 비활성화된 기능과 같은 다양한 고유 기능을 강조합니다.
이번 주 팀은 독일 함부르크에서 열린 제37차 카오스 통신 회의에서 가장 최근 연구 결과를 발표하면서 이를 작전에 사용된 적이 있는 "가장 정교한 공격 체인"이라고 말했습니다.
제로 클릭 공격은 iOS 16.2까지의 iOS 버전을 목표로 하는 iPhone의 iMessage 앱을 대상으로 합니다. 처음 발견되었을 때 이 공격은 복잡하게 구성된 공격 계층을 통해 XNUMX개의 제로데이를 악용하고 있었습니다.
'삼각측량 작전' 제로클릭 모바일 공격 내부
악의적인 행위자가 RCE(원격 코드 실행) 취약점을 악용하여 iMessage 첨부 파일을 보내면서 공격은 순진하게 시작됩니다. CVE-2023-41990.
이 익스플로잇은 후속 패치 이전인 90년대 초반부터 존재했던 Apple 전용의 문서화되지 않은 ADJUST TrueType 글꼴 명령을 대상으로 합니다.
그런 다음 공격 순서는 반환/점프 지향 프로그래밍과 NSExpression/NSPredicate 쿼리 언어 단계를 활용하여 JavaScriptCore 라이브러리를 조작하면서 더 깊이 파고듭니다.
공격자는 약 11,000줄의 코드에 걸쳐 내용을 숨기기 위해 조심스럽게 난독화한 권한 상승 익스플로잇을 JavaScript에 포함시켰습니다.
이 복잡한 JavaScript 익스플로잇은 JavaScriptCore의 메모리를 통해 조작하고 JavaScriptCore 디버깅 기능인 DollarVM($vm)을 활용하여 기본 API 기능을 실행합니다.
다음과 같이 추적되는 정수 오버플로 취약점 악용 CVE-2023-32434 XNU의 메모리 매핑 시스템 호출 내에서 공격자는 사용자 수준에서 장치의 물리적 메모리에 대한 전례 없는 읽기/쓰기 액세스 권한을 얻습니다.
또한 하드웨어 메모리 매핑 I/O(MMIO) 레지스터를 사용하여 페이지 보호 계층(PPL)을 능숙하게 우회합니다. Operation Triangulation 그룹이 제로데이로 악용 그러나 결국 다음과 같이 언급되었습니다. CVE-2023-38606 애플에 의해.
공격자는 장치의 방어에 침투하면 IMAgent 프로세스를 시작하고 페이로드를 주입하여 모든 악용 흔적을 지우는 방식으로 선택적 제어를 행사합니다.
그 후 그들은 다음 익스플로잇 단계가 포함된 웹 페이지로 리디렉션되는 보이지 않는 Safari 프로세스를 시작합니다.
웹 페이지는 피해자 확인을 수행하고, 인증이 성공하면 다음을 사용하여 Safari 공격을 실행합니다. CVE-2023-32435 쉘코드를 실행하기 위해
이 쉘코드는 이전 단계에서 사용된 동일한 CVE 중 두 개(CVE-2023-32434 및 CVE-2023-38606)를 활용하여 Mach 개체 파일 형식의 또 다른 커널 익스플로잇을 활성화합니다.
루트 권한을 획득한 공격자는 추가 단계를 조율하여 결국 스파이웨어를 설치합니다.
점점 정교해지는 iPhone 사이버 공격
보고서는 이 복잡한 다단계 공격이 전례 없는 수준의 정교함을 보여 iOS 기기 전체의 다양한 취약점을 악용하고 진화하는 사이버 위협 환경에 대한 우려를 높이고 있다고 지적했습니다.
Kaspersky 수석 보안 연구원인 Boris Larin은 새로운 하드웨어 취약점이 "모호함을 통한 보안" 원칙에 기반을 두고 있을 가능성이 있으며 테스트 또는 디버깅을 위한 것일 수 있다고 설명합니다.
“처음의 제로 클릭 iMessage 공격과 후속 권한 상승 이후 공격자들은 이 기능을 활용하여 하드웨어 기반 보안 보호를 우회하고 보호된 메모리 영역의 콘텐츠를 조작했습니다.”라고 그는 말합니다. "이 단계는 장치에 대한 완전한 제어권을 얻는 데 매우 중요했습니다."
그는 Kaspersky 팀이 알고 있는 한 이 기능은 공개적으로 문서화되지 않았으며 펌웨어에서 사용되지 않으므로 기존 보안 방법을 사용하여 탐지하고 분석하는 데 상당한 어려움을 겪고 있다고 덧붙였습니다.
Larin은 "iOS 기기의 경우 시스템의 폐쇄적 특성으로 인해 이러한 공격을 탐지하기가 정말 어렵습니다."라고 말합니다. "이들에 사용할 수 있는 유일한 탐지 방법은 네트워크 트래픽 분석과 iTunes로 만든 장치 백업에 대한 포렌식 분석을 수행하는 것입니다."
그에 비해 데스크탑과 노트북 macOS 시스템은 더 개방적이므로 이에 대해 더 효과적인 탐지 방법을 사용할 수 있다고 설명합니다.
“이 장치에는 설치할 수 있습니다 엔드포인트 탐지 및 대응(EDR) 이러한 공격을 탐지하는 데 도움이 될 수 있는 솔루션입니다.”라고 Larin은 말합니다.
그는 보안팀이 운영 체제, 애플리케이션, 바이러스 백신 소프트웨어를 정기적으로 업데이트할 것을 권장합니다. 알려진 취약점을 패치합니다. SOC 팀에 최신 위협 인텔리전스에 대한 액세스를 제공합니다.
“엔드포인트 수준의 탐지, 조사 및 적시 해결을 위한 EDR 솔루션을 구현하고, 지속적인 감염을 방지하기 위해 매일 재부팅하고, iMessage 및 Facetime을 비활성화하여 제로 클릭 악용 위험을 줄이고, iOS 업데이트를 즉시 설치하여 알려진 취약점으로부터 보호합니다.” Larin 추가합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections
