Kaspersky, “Operation Triangulation”da kullanılan casus yazılımın ayrıntılarını açıkladı!

Kaspersky uzmanları, iOS cihazlarını hedef alan Operation Triangulation kampanyası hakkındaki raporun ardından, saldırılar sırasında kullanılan casus yazılım implantının ayrıntılarına ışık tuttu. TriangleDB olarak adlandırılan implant, saldırganlara gizlice gözetleme yetenekleri kazandırıyor. Yalnızca bellekte çalışan implant, cihaz yeniden başlatıldığında tüm kanıtların silinmesini sağlıyor.

Kaspersky, kısa süre önce iMessage üzerinden özellikle iOS cihazlarını hedef alan yeni mobil Gelişmiş Kalıcı Tehdit (APT) kampanyası hakkındaki yeni detayları paylaştı. Kaspersky araştırmacıları altı aylık araştırmanın ardından istismar zincirinin derinlemesine analizini yayınladı ve casus yazılımın sistemlere nasıl yerleştiğinin ayrıntılarını ortaya çıkardı. TriangleDB olarak adlandırılan implant, hedeflenen iOS cihazında temel ayrıcalıkları elde etmek için çekirdekteki bir güvenlik açığından yararlanılarak dağıtılıyor.

Tehdit bir kez yerleştirildikten sonra yalnızca cihazın belleğinde çalışıyor, dolayısıyla yeniden başlatıldığında bulaşmanın izleri kayboluyor. Sonuç olarak kurban cihazını yeniden başlatırsa, saldırganın kötü niyetli bir ek içeren başka bir iMessage göndererek yeniden bulaştırması ve tüm istismar sürecini bir kez daha baştan başlatması gerekiyor. Yeniden başlatma gerçekleşmezse, saldırganlar süreyi uzatmadığı sürece implant 30 gün sonra kendini otomatik olarak kaldırıyor. Karmaşık bir casus yazılım tekniğiyle çalışan TriangleDB, son derece çeşitli veri toplama ve izleme yeteneklerine sahip.

İmplant toplamda farklı işlevlere sahip 24 komut içeriyor. Bu komutlar cihazın dosya sistemiyle etkileşimi (dosya oluşturma, değiştirme, dışarı sızma ve kaldırma dahil), süreçleri yönetme (listeleme ve sonlandırma), kurbanın kimlik bilgilerini toplamak için anahtarlık öğelerini çıkarma ve diğerlerinin yanı sıra kurbanın coğrafi konumunu izleme gibi çeşitli amaçlara hizmet ediyor.

Kaspersky uzmanları, TriangleDB’yi analiz ederken CRConfig sınıfı populateWithFieldsMacOSOnly adında kullanılmayan bir yöntem içerdiğini keşfetti. Her ne kadar iOS implantında kullanılmamış olsa da bu metodun varlığı benzer bir implant ile macOS cihazlarının hedeflenebileceğini gösteriyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Güvenlik Uzmanı Georgy Kucherin, şunları söyledi: “Saldırıyı derinlemesine incelediğimizde çok sayıda ilgi çekici tuhaflık sergileyen sofistike bir iOS implantı keşfettik. Kampanyayı analiz etmeye devam ediyoruz. Bu karmaşık saldırıya ilişkin daha fazla bilgi ile herkesi güncel tutacağız. Siber güvenlik topluluğunu, tehditler hakkında daha net bir görünüm elde etmek için birleşmeye, bilgi paylaşmaya ve iş birliği yapmaya çağırıyoruz.”

TriangleDB casus yazılımı hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin.

Kaspersky araştırmacıları, kötü amaçlı yazılımların bulaşmasını otomatik olarak arayan özel bir ‘triangle check’ yardımcı programı yayınladı. Cihazınızı nasıl kontrol edeceğinize dair ayrıntılı bir kılavuz için blog yazısını okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemleri almanızı öneriyor:

Kaynak: (BYZHA) Beyaz Haber Ajansı

Exit mobile version