На протяжении нескольких лет исследователи обнаруживали случаи заражения устройств на базе iOS целевым вредоносным ПО, таким как Pegasus, Predator, Reign и другим. Часто процесс заражения устройства включал в себя работу целой цепочки различных эксплойтов, например, для побега из песочницы iMessage при обработке вредоносного вложения, а также для получения root-привилегий через уязвимость в ядре. В силу этого обнаружение одного звена цепочки часто не приводит к раскрытию всех используемых в ходе атаки компонентов. Например, в 2021 году при помощи анализа резервных копий iTunes удалось получить вложение с эксплойтом FORCEDENTRY. Однако после эксплуатации уязвимости вредоносный код скачивал с удалённого сервера полезную нагрузку, которая была недоступна во время анализа. В результате этого исследователи потеряли «возможность исследования дальнейшей цепочки заражения».
Во время исследования «Операции Триангуляция» мы поставили цель получить как можно больше компонентов цепочки заражения. На достижение этой цели ушло около полугода, и после завершения сбора мы приступили к анализу всех обнаруженных компонентов. На данный момент мы завершили анализ шпионского импланта, о котором и пойдет речь в этой статье.
Имплант TriangleDB написан на Objective-C – языке программирования, который при компиляции сохраняет имена, которые разработчики присвоили методам и атрибутам классов. В исполняемом файле импланта имена методов необфусцированы, однако имена атрибутов классов представляют собой неинформативные аббревиатуры, что затрудняет понимание их предназначения.
В некоторых случаях всё же можно догадаться, что значат сокращения. Например, osV — версия iOS, а iME — IMEI-идентификатор устройства.
Строки в импланте закодированы в шестнадцатеричном виде и зашифрованы алгоритмом Rolling XOR.
Анализ - https://securelist.ru/triangledb-triangulation-implant/107612/
Во время исследования «Операции Триангуляция» мы поставили цель получить как можно больше компонентов цепочки заражения. На достижение этой цели ушло около полугода, и после завершения сбора мы приступили к анализу всех обнаруженных компонентов. На данный момент мы завершили анализ шпионского импланта, о котором и пойдет речь в этой статье.
Имплант TriangleDB написан на Objective-C – языке программирования, который при компиляции сохраняет имена, которые разработчики присвоили методам и атрибутам классов. В исполняемом файле импланта имена методов необфусцированы, однако имена атрибутов классов представляют собой неинформативные аббревиатуры, что затрудняет понимание их предназначения.
В некоторых случаях всё же можно догадаться, что значат сокращения. Например, osV — версия iOS, а iME — IMEI-идентификатор устройства.
Строки в импланте закодированы в шестнадцатеричном виде и зашифрованы алгоритмом Rolling XOR.
Анализ - https://securelist.ru/triangledb-triangulation-implant/107612/