{"id":984714,"date":"2023-10-24T08:43:05","date_gmt":"2023-10-24T10:43:05","guid":{"rendered":"https:\/\/teknomers.com\/fr\/operation-triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur-les-attaques-zero-day-sur-ios\/"},"modified":"2023-10-24T08:43:09","modified_gmt":"2023-10-24T10:43:09","slug":"operation-triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur-les-attaques-zero-day-sur-ios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/operation-triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur-les-attaques-zero-day-sur-ios\/","title":{"rendered":"Op\u00e9ration Triangulation\u00a0: des experts d\u00e9couvrent des informations plus approfondies sur les attaques Zero-Day sur iOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Jour z\u00e9ro\/s\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Operation-Triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;implant TriangleDB utilis\u00e9 pour cibler les appareils Apple iOS contient au moins quatre modules diff\u00e9rents pour enregistrer le microphone, extraire le trousseau iCloud, voler des donn\u00e9es des bases de donn\u00e9es SQLite utilis\u00e9es par diverses applications et estimer l&#8217;emplacement de la victime.<\/p>\n<p>Les conclusions proviennent de Kaspersky, qui a d\u00e9taill\u00e9 les efforts consid\u00e9rables d\u00e9ploy\u00e9s par l&#8217;adversaire derri\u00e8re la campagne, surnomm\u00e9e <strong>Op\u00e9ration Triangulation<\/strong>est all\u00e9 dissimuler et brouiller ses traces tout en aspirant clandestinement les informations sensibles des appareils compromis.<\/p>\n<p>L&#8217;attaque sophistiqu\u00e9e a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e pour la premi\u00e8re fois en juin 2023, lorsqu&#8217;il est apparu qu&#8217;iOS avait \u00e9t\u00e9 cibl\u00e9 par un exploit z\u00e9ro clic militant puis des failles de s\u00e9curit\u00e9 zero-day (CVE-2023-32434 et CVE-2023-32435) qui exploitent la plate-forme iMessage. pour fournir une pi\u00e8ce jointe malveillante qui peut obtenir un contr\u00f4le total sur l&#8217;appareil et les donn\u00e9es utilisateur.<\/p>\n<p>L&#8217;ampleur et l&#8217;identit\u00e9 de l&#8217;auteur de la menace sont actuellement inconnues, bien que Kaspersky lui-m\u00eame soit devenu l&#8217;une des cibles au d\u00e9but de l&#8217;ann\u00e9e, ce qui l&#8217;a incit\u00e9 \u00e0 enqu\u00eater sur les diff\u00e9rents \u00e9l\u00e9ments de ce qu&#8217;il a d\u00e9clar\u00e9 dans une menace persistante avanc\u00e9e (APT) compl\u00e8te. plate-forme.<\/p>\n<p>Le c\u0153ur du cadre d&#8217;attaque constitue une porte d\u00e9rob\u00e9e appel\u00e9e TriangleDB qui est d\u00e9ploy\u00e9e une fois que les attaquants ont obtenu les privil\u00e8ges root sur l&#8217;appareil iOS cible en exploitant CVE-2023-32434, une vuln\u00e9rabilit\u00e9 du noyau qui pourrait \u00eatre exploit\u00e9e pour ex\u00e9cuter du code arbitraire.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/BunnyLoader-une-nouvelle-menace-de-type-Malware-as-a-Service-emerge-dans-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D\u00e9sormais, selon la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9, le d\u00e9ploiement de l&#8217;implant est pr\u00e9c\u00e9d\u00e9 de deux \u00e9tapes de validation, \u00e0 savoir JavaScript Validator et Binary Validator, qui sont ex\u00e9cut\u00e9es pour d\u00e9terminer si l&#8217;appareil cible n&#8217;est pas associ\u00e9 \u00e0 un environnement de recherche.<\/p>\n<p>&#8220;Ces validateurs collectent diverses informations sur l&#8217;appareil de la victime et les envoient au serveur C2&#8221;, expliquent les chercheurs de Kaspersky Georgy Kucherin, Leonid Bezvershenko et Valentin Pashkov. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/triangulation-validators-modules\/110847\/\" target=\"_blank\">dit<\/a> dans un rapport technique publi\u00e9 lundi.<\/p>\n<p>&#8220;Ces informations sont ensuite utilis\u00e9es pour \u00e9valuer si l&#8217;iPhone ou l&#8217;iPad qui sera implant\u00e9 avec TriangleDB pourrait \u00eatre un appareil de recherche. En effectuant de telles v\u00e9rifications, les attaquants peuvent s&#8217;assurer que leurs exploits zero-day et l&#8217;implant ne seront pas br\u00fbl\u00e9s.&#8221;<\/p>\n<p>En guise de contexte\u00a0: le point de d\u00e9part de la cha\u00eene d&#8217;attaque est une pi\u00e8ce jointe iMessage invisible qu&#8217;une victime re\u00e7oit, qui d\u00e9clenche une cha\u00eene d&#8217;exploitation sans clic con\u00e7ue pour ouvrir furtivement une URL unique contenant du JavaScript obscurci ainsi qu&#8217;une charge utile crypt\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698144184_378_Operation-Triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698144184_378_Operation-Triangulation-des-experts-decouvrent-des-informations-plus-approfondies-sur.jpg\" alt=\"Attaques du jour z\u00e9ro sur iOS\" border=\"0\" data-original-height=\"329\" data-original-width=\"728\" title=\"Attaques du jour z\u00e9ro sur iOS\"\/><\/a><\/div>\n<p>La charge utile est le validateur JavaScript qui, en plus d&#8217;effectuer diverses op\u00e9rations arithm\u00e9tiques et de v\u00e9rifier la pr\u00e9sence de l&#8217;API Media Source et de WebAssembly, ex\u00e9cute une technique d&#8217;empreinte digitale du navigateur appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/fingerprint.com\/blog\/canvas-fingerprinting\/\" target=\"_blank\">empreintes digitales sur toile<\/a> en dessinant un triangle jaune sur fond rose avec WebGL et en calculant sa somme de contr\u00f4le.<\/p>\n<p>Les informations collect\u00e9es \u00e0 la suite de cette \u00e9tape sont transmises \u00e0 un serveur distant afin de recevoir, en retour, un malware inconnu de prochaine \u00e9tape.  Un Binary Validator est \u00e9galement livr\u00e9 apr\u00e8s une s\u00e9rie d&#8217;\u00e9tapes ind\u00e9termin\u00e9es, un fichier binaire Mach-O qui effectue les op\u00e9rations ci-dessous &#8211;<\/p>\n<ul>\n<li>Supprimez les journaux de crash du r\u00e9pertoire \/private\/var\/mobile\/Library\/Logs\/CrashReporter pour effacer les traces d&#8217;une \u00e9ventuelle exploitation<\/li>\n<li>Supprimez les preuves de la pi\u00e8ce jointe iMessage malveillante envoy\u00e9e \u00e0 partir de 36 adresses e-mail Gmail, Outlook et Yahoo diff\u00e9rentes contr\u00f4l\u00e9es par des attaquants.<\/li>\n<li>Obtenir une liste des processus en cours d&#8217;ex\u00e9cution sur l&#8217;appareil et les interfaces r\u00e9seau<\/li>\n<li>V\u00e9rifiez si l&#8217;appareil cible est jailbreak\u00e9<\/li>\n<li>Activer le suivi personnalis\u00e9 des annonces<\/li>\n<li>Recueillir des informations sur l&#8217;appareil (nom d&#8217;utilisateur, num\u00e9ro de t\u00e9l\u00e9phone, IMEI et identifiant Apple), et<\/li>\n<li>R\u00e9cup\u00e9rer une liste des applications install\u00e9es<\/li>\n<\/ul>\n<p>&#8220;Ce qui est int\u00e9ressant \u00e0 propos de ces actions, c&#8217;est que le validateur les impl\u00e9mente \u00e0 la fois pour les syst\u00e8mes iOS et macOS&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant que les r\u00e9sultats des actions susmentionn\u00e9es sont crypt\u00e9s et exfiltr\u00e9s vers un serveur de commande et de contr\u00f4le (C2) pour r\u00e9cup\u00e9rer le Implant TriangleDB.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;une des toutes premi\u00e8res \u00e9tapes franchies par la porte d\u00e9rob\u00e9e consiste \u00e0 \u00e9tablir une communication avec le serveur C2 et \u00e0 envoyer un battement de c\u0153ur, puis \u00e0 recevoir des commandes qui suppriment le journal des pannes et les fichiers de base de donn\u00e9es afin de masquer la piste m\u00e9dico-l\u00e9gale et d&#8217;entraver l&#8217;analyse.<\/p>\n<p>Des instructions sont \u00e9galement envoy\u00e9es \u00e0 l&#8217;implant pour exfiltrer p\u00e9riodiquement les fichiers du r\u00e9pertoire \/private\/var\/tmp contenant l&#8217;emplacement, le trousseau iCloud, les donn\u00e9es li\u00e9es \u00e0 SQL et les donn\u00e9es enregistr\u00e9es par microphone.<\/p>\n<p>Une caract\u00e9ristique notable du module d&#8217;enregistrement par microphone est sa capacit\u00e9 \u00e0 suspendre l&#8217;enregistrement lorsque l&#8217;\u00e9cran de l&#8217;appareil est allum\u00e9, indiquant ainsi l&#8217;intention de l&#8217;acteur malveillant de passer sous le radar.<\/p>\n<p>De plus, le module de surveillance de localisation est orchestr\u00e9 pour utiliser les donn\u00e9es GSM, telles que l&#8217;indicatif du pays du mobile (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Mobile_country_code\" target=\"_blank\">Centre multicompte<\/a>), le code du r\u00e9seau mobile (MNC) et l&#8217;indicatif r\u00e9gional de localisation (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Location_area_identity\" target=\"_blank\">LAC<\/a>), pour trianguler la position de la victime lorsque les donn\u00e9es GPS ne sont pas disponibles.<\/p>\n<p>&#8220;L&#8217;adversaire derri\u00e8re Triangulation a pris grand soin d&#8217;\u00e9viter d&#8217;\u00eatre d\u00e9tect\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Les attaquants ont \u00e9galement fait preuve d&#8217;une grande compr\u00e9hension des composants internes d&#8217;iOS, car ils ont utilis\u00e9 des API priv\u00e9es non document\u00e9es au cours de l&#8217;attaque.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/operation-triangulation-experts-uncover.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 octobre 2023\ue804R\u00e9dactionJour z\u00e9ro\/s\u00e9curit\u00e9 mobile L&#8217;implant TriangleDB utilis\u00e9 pour cibler les appareils Apple iOS contient au moins quatre modules diff\u00e9rents pour enregistrer le microphone, extraire le trousseau iCloud, voler des donn\u00e9es des bases de donn\u00e9es SQLite utilis\u00e9es par diverses applications et estimer l&#8217;emplacement de la victime. Les conclusions proviennent de Kaspersky, qui a d\u00e9taill\u00e9 les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":984715,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,53713,8074,4168,4165,4161,200267,3073,133,692,492,22006,4159,4171,65,200271,200268,200269,200270,385,128318,4172,4169,60,132004,4166,4164,35759],"class_list":["post-984714","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-approfondies","tag-attaques","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-decouvrent","tag-des","tag-experts","tag-informations","tag-ios","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-operation","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sur","tag-triangulation","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/984714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=984714"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/984714\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/984715"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=984714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=984714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=984714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}