Daha önce bilinmeyen bir gelişmiş kalıcı tehdit (APT), gelişmiş ve uzun süredir devam eden bir mobil kampanyanın parçası olarak iOS cihazlarını hedefliyor. Nirengi Operasyonu bu 2019’da başladı.
Kaspersky, “Hedeflere, iMessage platformu aracılığıyla sıfır tıklamalı açıklardan yararlanma yoluyla bulaşıyor ve kötü amaçlı yazılım kök ayrıcalıklarıyla çalışarak cihaz ve kullanıcı verileri üzerinde tam kontrol kazanıyor.” söz konusu.
Rus siber güvenlik şirketi, hedeflenen cihazların çevrimdışı yedeklerini oluşturduktan sonra uzlaşmanın izlerini bulduğunu söyledi.
Saldırı zinciri, iOS cihazının iMessage yoluyla açıktan yararlanmayı içeren bir ek içeren bir mesaj almasıyla başlar.
İstismarın sıfır tıklama olduğu söyleniyor, yani mesajın alınması, kod yürütmeyi gerçekleştirmek için herhangi bir kullanıcı etkileşimi gerektirmeden güvenlik açığını tetikliyor.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Ayrıca ayrıcalık yükseltme için ek yükler alacak ve Kaspersky’nin “tam özellikli bir APT platformu” olarak tanımladığı uzak bir sunucudan son aşamadaki bir kötü amaçlı yazılımı bırakacak şekilde yapılandırılmıştır.
Kök ayrıcalıklarıyla çalışan implant, hassas bilgileri toplayabilir ve sunucudan eklenti modülleri olarak indirilen kodu çalıştırmak için donatılmıştır.
Son aşamada, bulaşmanın tüm izlerini silmek için hem ilk mesaj hem de ekteki istismar silinir.
“Kötü amaçlı araç seti, büyük olasılıkla programın sınırlamaları nedeniyle kalıcılığı desteklemiyor. [operating system],” dedi Kaspersky. “Birden çok cihazın zaman çizelgeleri, yeniden başlatmanın ardından yeniden virüslenebileceklerini gösteriyor.”
Kampanyanın tam ölçeği ve kapsamı belirsizliğini koruyor, ancak şirket saldırıların devam ettiğini ve 12 Eylül 2022’de piyasaya sürülen iOS 15.7 çalıştıran cihazlara sızan başarılı enfeksiyonlarla devam ettiğini söyledi.