Во время мониторинга сетевого трафика Kaspersky заметил подозрительную активность, которая исходила от нескольких телефонов на базе iOS. Касперский создал автономные резервные копии данных устройств, проверил их с помощью mvt-ios из Mobile Verification Toolkit и обнаружил следы компрометации.
Используя эту хронологию, специалисты "Касперского" смогли определить конкретные артефакты, указывающие на компрометацию. Это позволило им восстановить общую последовательность заражения:
- Целевое iOS-устройство получает сообщение через сервис iMessage с вложением, содержащим эксплойт.
- Без какого-либо вмешательства пользователя сообщение запускает уязвимость, которая приводит к выполнению кода.
- Код эксплойта загружает несколько последующих этапов с C&C-сервера, которые включают дополнительные эксплойты для повышения привилегий.
- После успешной эксплуатации с C&C-сервера загружается конечная полезная нагрузка, представляющая собой полнофункциональную платформу APT.
- Первоначальное сообщение и эксплойт во вложении удаляются.
Вредоносный инструментарий не поддерживает персистентность, скорее всего, из-за ограничений ОС. Время работы нескольких устройств показывает, что они могут быть повторно заражены после перезагрузки. Самые старые следы заражения, которые мы обнаружили, произошли в 2019 году. На момент написания статьи в июне 2023 года атака продолжается, а самой последней версией устройств, успешно подвергшихся атаке, является iOS 15.7.
Indicators of Compromise
Domains
- addatamarket.net
- ans7tv.net
- anstv.net
- backuprabbit.com
- businessvideonews.com
- cloudsponcer.com
- datamarketplace.net
- growthtransport.com
- mobilegamerstats.com
- snoweeanalytics.com
- tagclick-cdn.com
- topographyupdates.com
- unlimitedteacup.com
- virtuallaughing.com
- web-trackers.com
