В процессе мониторинга собственной корпоративной Wi-Fi сети с помощью SIEM-системы KUMA эксперты "Лаборатории Касперского" обнаружили подозрительную активность нескольких iOS-устройств. Об этом сообщается на сайте компании.
"Были обнаружены следы компрометации устройств ранее неизвестной вредоносной программой.
Мы назвали эту вредоносную кампанию "Операция Триангуляция" (Operation Triangulation)", - говорится в сообщении.Как рассказали в компании, резервная копия iTunes содержит часть файловой системы устройства, включая данные пользователя и служебные базы данных.
"Используя временные метки файлов, папок, и некоторых записей баз данных, можно восстановить примерную последовательность событий, происходящих на устройстве. Утилита mvt-ios сохраняет эту последовательность в файл "timeline.csv", напоминающий по формату super-timeline, который часто используют для исследования файловых систем обычных компьютеров", - говорится в сообщении.
При это, по словам специалистов, анализ последовательностей событий зараженных устройств позволил выделить события, специфичные для момента компрометации. Так, сначала заражаемое iOS-устройство получает сообщение iMessage со специальным вложением, содержащим эксплойт. Далее без какого-либо взаимодействия с пользователем, эксплойт из сообщения вызывает выполнение вредоносного кода. После указанный код соединяется с сервером управления и приводит к последовательной загрузке нескольких "ступеней" вредоносной программы. Кроме того, после успешной отработки всех вредоносных компонентов, загружается конечная вредоносная нагрузка – полноценная APT-платформа. При этом сообщение и вложение с эксплойтом удаляются в процессе заражения.
В "Лаборатории Касперского" уточнили, что анализ вредоносной платформы продолжается. На данный момент известно, что она выполняется с привилегиями суперпользователя, реализует набор команд для сбора информации о пользователе и системе, а также позволяет исполнять произвольный код в виде плагинов, переданных с сервера управления.
Свежие комментарии