今年6月,资安业者卡巴斯基从专供行动装置使用的Wi-Fi网路流量察觉异常,有多台iOS手机出现可疑活动,从而发现零点击攻击行动Operation Triangulation,在经过4个月的调查后,该公司透露攻击者如何防范研究人员发现其活动的迹象。
研究人员认为,这些过往较为罕见的手法,代表骇客对iOS作业系统相当了解,而且,他们不排除Mac电脑也是遭到锁定的对象。
【攻击与威胁】
研究人员指出,骇客为了避免在资安人员的测试环境执行恶意程式,在锁定攻击目标之后,他们会先执行2种验证程序,其中一种是针对JavaScript功能进行验证,攻击者执行多种数学运算,并侦测Media Source API及WebAssembly元件是否存在,然后利用名为Canvas Fingerprinting的浏览器指纹技术,使用WebGL在粉红色背景上绘制黄色的三角形,并计算其检查码(Checksum)。 在上述的JavaScript功能验证完成之后,结果将会回传到骇客的伺服器,接收另一个Mach-O执行档的环境验证工具,此工具检查装置是否越狱,并启用个人化设定的广告追踪,收集使用者名称、电话号码、IMEI码、Apple ID等系统资讯,以及已安装的应用程式清单、正在执行的处理程序等资讯,除此之外,该工具还会清理特定的事件记录档案,以及骇客寄送的iMessage讯息,来抹除尝试入侵的证据。 经过上述的装置检查流程,骇客才会将恶意程式TriangleDB植入目标设备,并与C2伺服器建立通讯、发送心跳讯息。此后门程式会泄露受害者的地理位置、iCloud钥匙圈、麦克风录音资料,以及应用程式利用SQLite资料库存放的使用者设定等。 研究人员从8月24日至29日,看到骇客组织TA2725针对西班牙、墨西哥的攻击行动,这些骇客假借西班牙金属热处理业者ÉSECÈ Group、墨西哥电信业者Claro的名义寄送钓鱼邮件。 线上影视平台LiTV于今年1月24日,发现公司网路遭到入侵,删除资料库,以及提供影音服务的云端虚拟伺服器档案,刑事警察局接获报案进行调查,发现设籍基隆市的49岁陈姓资讯工程师涉嫌重大,2月20日拘提到案,陈嫌表示犯案动机与订阅LiTV影视服务有关, 思科揭露网路设备作业系统IOS XE的零时差漏洞CVE-2023-20198、CVE-2023-20273,且已出现大规模攻击行动,有其他采用这套作业系统的网路设备也可能曝露相关风险。 10月24日工业自动化设备制造商Rockwell发布资安通告,表示旗下的工业网路交换器Stratix 5800、5200系列也采用IOS XE作业系统,若是IT人员启用网页介面的功能,就可能存在CVE-2023-20198,攻击者可在未经身分验证的情况下,远端于交换器上建立具有等级15权限的帐号,并用来控制目标设备,CVSS风险评分为10,美国网路安全暨基础设施安全局(CISA)也对此提出警告,呼吁IT人员采取相关缓解措施。 值得留意的是,该公司并未提供修补程式,也没有提及上述交换器是否受到CVE-2023-20273影响。 资料来源 【10月23日】 思科网路设备作业系统IOS XE攻击升温,骇客串连两个零时差漏洞散布恶意程式,近4.2万台设备受害【其他新闻】