Kasperskyのセキュリティ研究者はこのほど、Triangulationとして知られる作戦の一部である、高度なスパイウェア・インプラント「TriangleDB」を発見しました。
同社が本日早くに公開したアドバイザリによると、このインプラントは悪意のあるiMessage添付ファイルを介してiOSデバイスを特に標的にします。攻撃者がカーネルの脆弱性を悪用してroot権限を取得した後に展開されます。
iOSデバイスを標的とする攻撃について詳しく読む:新たなゼロクリックiOSエクスプロイトがイスラエル製スパイウェアを展開
インストールされると、TriangleDBはデバイスのメモリ内に常駐し、検出を困難にします。一方で、デバイスを再起動すると実質的に削除されます。再起動が行われない場合(そして攻撃者が期間を延長しない限り)、インプラントは30日後に自動的に自己アンインストールします。
TriangleDBはObjective-Cでコーディングされており、Protobufライブラリを用いてコマンド&コントロール(C2)サーバーと通信します。インプラントとサーバー間でやり取りされるメッセージは、共通鍵暗号と公開鍵暗号を用いて暗号化されています。
C2サーバーはインプラントにコマンドを送信し、それらが実行されてさまざまなタスクが行われます。
これらのコマンドには、デバイスのファイルシステムとのやり取り、プロセスの監視、キーチェーン項目の取得、位置情報の追跡、追加モジュールの実行が含まれます。
発見された注目すべきコマンドの1つは、特定の正規表現に一致する変更済みファイルについて、指定されたディレクトリを監視します。これらのファイルはその後、C2サーバーへの持ち出し(エクスフィルトレーション)対象としてスケジュールされます。
TriangleDBインプラントのさらなる解析は継続中であり、Kasperskyの研究者は、このキャンペーンについてより多くの詳細を収集するため調査を続けると述べました。
「私たちはこのキャンペーンの分析を継続しており、この高度な攻撃に関するさらなる知見が得られ次第、皆さんに最新情報をお届けします」と、Kasperskyのグローバル・リサーチ&アナリシス・チーム(GReAT)のセキュリティ専門家、Georgy Kucherin氏は述べました。
「サイバーセキュリティ・コミュニティに対し、結束し、知識を共有し、協力して、存在する脅威についてより明確な全体像を得ることを呼びかけます。」
TriangleDBのアドバイザリは、KasperskyがOperation Triangulationによる特定のマルウェアにデバイスが感染しているかどうかをiOSユーザーが検査できるよう支援するため、新たな自動化ツールを公開してから数週間後に出されたものです。
翻訳元: https://www.infosecurity-magazine.com/news/new-spyware-implant-triangledb/
