كاسبرسكي تكشف عن تفاصيل برامج التجسس المستخدمة في "عملية المثلثات"
بعد صدور التقرير عن حملة "عملية المثلثات" التي تستهدف أجهزة iOS ، قام خبراء كاسبرسكي بتسليط الضوء على التفاصيل المتعلقة بزرع برامج التجسس المستخدمة أثناء الهجمات. تمنح الغرسة التي يطلق عليها اسم TriangleDB للمهاجمين قدرات مراقبة سرية. تعمل في الذاكرة فقط، مما يضمن مسح جميع الأدلة على الغرسة عند إعادة تشغيل الجهاز.
وأبلغت كاسبرسكي مؤخرًا عن حملة جديدة للتهديدات المتقدمة المستمرة (APT) للأجهزة المحمولة والتي تستهدف على وجه التحديد أجهزة iOS عبر iMessage. بعد التحقيق الذي دام ستة أشهر ، نشر باحثو الشركة تحليلًا متعمقًا لسلسلة الاستغلال وكشفوا عن تفاصيل عملية زرع برامج التجسس. ويتم نشر الغرسة، التي يطلق عليها اسم TriangleDB، من خلال استغلال ثغرة أمنية في النواة للحصول على امتيازات أولية على جهاز iOS المستهدف. بمجرد نشره ، فإنه يعمل فقط في ذاكرة الجهاز، وبالتالي تختفي آثار العدوى عند إعادة تشغيل الجهاز، وبالتالي، إذا أعاد الضحية إعادة تشغيل جهازه، يحتاج المهاجم إلى إعادة إصابته عن طريق إرسال رسالة iMessage أخرى بها مرفق خبيث، والبدء في عملية الاستغلال بأكملها مرة أخرى. في حالة عدم حدوث إعادة تشغيل، سيتم إلغاء تثبيت الغرسة تلقائيًا بعد 30 يومًا، ما لم يمدد المهاجمون هذه الفترة. تعمل كبرامج تجسس معقدة، وتقوم TriangleDB بتنفيذ مجموعة واسعة من جمع البيانات والمراقبة.
24 أمرًا بوظائف متنوعة
وتشمل الغرسة في المجمل على 24 أمرًا بوظائف متنوعة. وتخدم هذه الأوامر لأغراضًا مختلفة، مثل التفاعل مع نظام ملفات الجهاز (بما في ذلك إنشاء الملفات وتعديلها وسحبها وإزالتها) ، وإدارة العمليات (الإدراج والإنهاء)، واستخراج عناصر سلسلة المفاتيح لجمع بيانات اعتماد الضحية، ومراقبة الموقع الجغرافي للضحية.
فئة CRConfig تحتوي على طريقة غير مستخدمة تسمى populateWithFieldsMacOSOnly
وأثناء تحليل TriangleDB، اكتشف خبراء كاسبرسكي أن فئة CRConfig تحتوي على طريقة غير مستخدمة تسمى populateWithFieldsMacOSOnly. على الرغم من عدم استخدامه في غرسة iOS، إلا أن وجودها يشير إلى إمكانية استهداف أجهزة macOS بزرع غرسة مماثلة.
قال جورجي كوتشرين، خبير الأمن في فريق البحث والتحليل العالمي في كاسبرسكي: "أثناء خوضنا في الهجوم، اكتشفنا غرسة iOS متطورة أظهرت العديد من الميزات المثيرة للاهتمام. ونواصل تحليل الحملة وسوف نبقي الجميع على اطلاع بمزيد من المعلومات حول هذا الهجوم المتطور. وندعو مجتمع الأمن السيبراني إلى الاتحاد ومشاركة المعلومات والتعاون للحصول على صورة أوضح حول التهديدات الموجودة ".
لمعرفة المزيد حول برامج التجسس TriangleDB ، قم بزيارة Securelist.com
أصدر باحثو كاسبرسكي أداة "triangle_check" الخاصة التي تبحث تلقائيًا عن إصابة البرامج الخبيثة. للحصول على دليل مفصل حول كيفية التحقق من جهازك، اقرأ المدونة.
من أجل تجنب الوقوع ضحية لهجوم من قبل جهة تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي بتنفيذ الإجراءات التالية:
لاكتشاف الحوادث على مستوى نقطة النهاية والتحقيق فيها ومعالجتها في الوقت المناسب، قم بإستخدام حلًا أمنيًا موثوقًا للشركات، مثل Kaspersky Unified Monitoring and Analysis Platform (KUMA).
قم بتحديث نظام التشغيل Microsoft Windows OS والبرامج الأخرى التابعة لجهات خارجية في أسرع وقت ممكن وقم بذلك بانتظام.
تزويد فريق مركز عمليات الأمنية SOC الخاص بك بإمكانية الوصول إلى أحدث معلومات التهديدات (TI). تُعد Kaspersky Threat Intelligence نقطة وصول لبيانات التهديد الخاصة بالشركة، حيث تزودها ببيانات الهجوم الإلكتروني والمعلومات التي جمعتها كاسبرسكي على مدار 20 عامًا.
قم بتطوير مهارات فريق الأمن السيبراني لديك للتعامل مع أحدث التهديدات المستهدفة من خلال تدريب كاسبرسكي عبر الإنترنت الذي طوره خبراء GReAT.
نظرًا لأن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو تقنيات الهندسة الاجتماعية الأخرى، قم بتوفير تدريبًا على الوعي الأمني وعلم المهارات العملية لفريقك - على سبيل المثال، من خلال Kaspersky Automated Security Awareness Platform.استخدام حلول مراقبة وتحليل واكتشاف حركة المرور عبر شبكة الأنظمة الأمنية، لضمان أفضل مستوى من الحماية ضد الهجمات التي قد تهدد العمليات التكنولوجية والأصول الرئيسية في الشركة.