知名反病毒軟件開發(fā)商卡巴斯基日前發(fā)文透露該公司遭遇的卡巴一種復(fù)雜攻擊，這次攻擊被卡巴斯基實(shí)驗(yàn)室命名為三角測量 (IOSTriangulation)，斯基得益于卡巴斯基日常的遭遇上海外圍大圈資源預(yù)約（微信180-4582-8235）提供頂級外圍女上門，伴游，空姐，網(wǎng)紅，明星，車模等優(yōu)質(zhì)資源，可滿足你的一切要求安全管理，此次攻擊不僅被發(fā)現(xiàn)了，復(fù)雜而且對卡巴斯基實(shí)驗(yàn)室沒有產(chǎn)生太大影響。網(wǎng)絡(luò)

卡巴斯基創(chuàng)始人尤金卡巴斯基詳細(xì)描述了漏洞以及卡巴斯基的攻擊工發(fā)現(xiàn)過程，根據(jù)說明黑客早在 2019年就已經(jīng)滲透了卡巴斯基員工的黑客手機(jī)。

開始：

卡巴斯基對于內(nèi)網(wǎng)的利用零點(diǎn)e藍(lán)管理比較嚴(yán)格，員工可以在公司連接 WiFi，擊漏但這個(gè) WiFi 是洞滲點(diǎn)網(wǎng)專門劃分出來給移動設(shè)備使用的，使用 VLAN 隔離?？ò?/p>

同時(shí)卡巴斯基還對這個(gè) VLAN 的斯基流量進(jìn)行監(jiān)控，最終卡巴斯基在流量中發(fā)現(xiàn)了某些異常網(wǎng)址，遭遇這才發(fā)現(xiàn)有幾十名員工已經(jīng)遭到入侵。復(fù)雜

零點(diǎn)擊漏洞 (0?click)：

零點(diǎn)擊漏洞指的網(wǎng)絡(luò)上海外圍大圈資源預(yù)約（微信180-4582-8235）提供頂級外圍女上門，伴游，空姐，網(wǎng)紅，明星，車模等優(yōu)質(zhì)資源，可滿足你的一切要求是不需要用戶進(jìn)行任何交互的漏洞，此類漏洞大部分都屬于危害程度極高的漏洞，也是各大操作系統(tǒng)最關(guān)心的漏洞類型之一。

黑客利用蘋果 iMessage 服務(wù)的零點(diǎn)擊漏洞，向卡巴斯基員工發(fā)送一條帶有附件的 iMessage 消息，卡巴斯基的員工 iPhone 接收到這條消息后就會被自動感染，并植入惡意軟件。

惡意軟件功能：

當(dāng) iPhone 被惡意軟件感染后，黑客就開始收集各種敏感信息并上傳到 C&C 服務(wù)器，竊取的信息包括但不限于：GPS 位置信息、使用麥克風(fēng)錄音、各種即時(shí)通訊軟件的截圖、iPhone 上的其他數(shù)據(jù)。

黑客使用了幾十個(gè)看起來正常的域名用于傳輸這些信息，避免被卡巴斯基監(jiān)測到異常，例如這種域名：businessvideonews [.] com

經(jīng)過分析后卡巴斯基實(shí)驗(yàn)室認(rèn)為此次攻擊、攻擊者、利用的漏洞與之前出現(xiàn)的 NSO 集團(tuán)飛馬座 (Pegasus)、以色列的 Predator、Reign 無關(guān)，也就是一起獨(dú)立的攻擊活動。

無法實(shí)現(xiàn)持久化，必須重復(fù)感染：

可能是由于 iOS 的某種機(jī)制，這個(gè)惡意軟件無法進(jìn)行持久化，也就是每次重啟系統(tǒng)后惡意軟件都會被停掉，攻擊者必須重新感染以啟動。

根據(jù)卡巴斯基的調(diào)查，部分員工的 iPhone 被重復(fù)感染過多次。例如 iOS 自動更新時(shí)就會重啟系統(tǒng)，那么攻擊者就必須重復(fù)感染一次。

受感染的設(shè)備如何清理：

必須恢復(fù)出廠設(shè)置并完全重新設(shè)置，不能使用備份數(shù)據(jù)恢復(fù)，因?yàn)橹踩氲膼阂廛浖赡軙膫浞葜谢謴?fù)。

iMessage 受保護(hù)模式：

蘋果在去年年底為 iCloud 推出高級數(shù)據(jù)保護(hù)功能，此功能開啟后 iOS 不少功能都會被限制，但安全性會被增強(qiáng)。其中有一點(diǎn)就是 iMessage 附加下載功能也會被禁用，這可能有助于防止這種攻擊。

攻擊目的分析：

卡巴斯基認(rèn)為該公司并不是黑客的主要目標(biāo)，使用如此復(fù)雜的攻擊方式并開采 iMessage 零點(diǎn)擊漏洞，說明黑客不差錢，所以這次攻擊大概率帶有其他目的。

而且卡巴斯基可能只是眾多被攻擊的機(jī)構(gòu)之一，大概率還有不少機(jī)構(gòu)遭到類似的攻擊。

漏洞是否修復(fù)：

根據(jù)卡巴斯基的說明，相關(guān)漏洞情況已經(jīng)通報(bào)給蘋果，但蘋果始終沒有回復(fù)通報(bào)。但測試顯示蘋果在今年 2 月發(fā)布的 iOS 更新中修復(fù)了這枚漏洞，至于為什么沒有回復(fù)卡巴斯基的通報(bào)暫時(shí)還不知道原因。

后記：

由于此次攻擊非常復(fù)雜，目前卡巴斯基分析 (透露) 出來的消息還不多，卡巴斯基稱后續(xù)有新消息將繼續(xù)發(fā)布博客說明。

此事件被命名為 IOSTriangulation，卡巴斯基做了個(gè)專題頁面：https://securelist.com/trng-2023/

最新評論