- TriangleDB löscht sich selbst bei Neustart des Gerätes oder deinstalliert sich nach 30 Tagen automatisch
- Hinweise auf ähnliches macOS-Implantat entdeckt
Die Experten von Kaspersky veröffentlichen jetzt weitere Details zur Kampagne Operation Triangulation, die auf iOS-Geräte abzielt [1]. Demnach bietet das Spyware-Implantat TriangleDB den Angreifern verdeckte Überwachungsmöglichkeiten. Es läuft ausschließlich im Arbeitsspeicher eines iOS-Geräts und sorgt dafür, dass alle seine Spuren bei einem Neustart des jeweiligen Endgeräts gelöscht werden. Das Implantat kann Dateien erstellen, ändern, exfiltrieren und sogar löschen.
Anfang Juni veröffentlichte Kaspersky Details über eine neue APT-Kampagne (Advanced Persistent Threat), die speziell iOS-Geräte via iMessage anvisiert [2]. Nach einer sechsmonatigen Untersuchung können die Experten jetzt eine tiefergehende Analyse der Angriffskette und weitere Details zum Spyware-Implantat zur Verfügung stellen.
Das als TriangleDB bezeichnete Implantat wird unter Ausnutzung einer Kernel-Schwachstelle bereitgestellt, um Root-Rechte auf dem Ziel-iOS-Gerät zu erlangen. Nach der Installation wird die Software ausschließlich im Speicher des Geräts ausgeführt, so dass die Spuren der Infektion nach dem Neustart des Geräts verschwinden. Startet die betroffene Person ihr Gerät neu, muss der Angreifer es erneut infizieren, indem er eine weitere iMessage mit einem schädlichen Anhang versendet und so den gesamten Infektionsprozess erneut in Gang setzt. Sollte kein Neustart erfolgen, deinstalliert sich das Implantat nach 30 Tagen automatisch; es sei denn, die Angreifer verlängern diesen Zeitraum.
Funktionalitäten von TriangleDB
Bei TriangleDB handelt es sich um eine komplexe Spyware, sie verfügt über eine breite Palette von Datenerfassungs- und Überwachungsfunktionen. Insgesamt umfasst das Implantat 24 Befehle mit diversen Funktionen, darunter die Interaktion mit Daten im Dateisystem des Geräts (einschließlich Erstellung, Änderung, Exfiltration und Löschung von Dateien), die Verwaltung von Prozessen (Auflistung und Beendigung), das Extrahieren von iCloud-Schlüsselbund-Einträgen zum Sammeln von Anmeldedaten und die Überwachung der Geolokalisierung.
Bei der Untersuchung von TriangleDB entdeckten die Kaspersky-Experten zudem, dass die CRConfig Class eine bislang nicht verwendete Methode namens populateWithFieldsMacOSOnly enthält. Obwohl sie im iOS-Implantat nicht zum Einsatz kommt, deutet ihr Vorhandensein auf die Möglichkeit hin, dass ein ähnliches Implantat auf macOS-Geräte abzielen könnte.
„Im Zuge unserer Untersuchungen entdeckten wir ein ausgeklügeltes iOS-Implantat, das zahlreiche verblüffende Besonderheiten aufwies“, kommentiert Georgy Kucherin, Sicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky. „Wir werden die Analyse der Kampagne fortsetzen und die Cybersicherheits-Community über weitere Erkenntnisse zu diesem raffinierten Angriff auf dem Laufenden halten. Unser Appell an die Community: lasst uns alle zusammenschließen, unser Wissen teilen und zusammenarbeiten, um ein klareres Bild der Bedrohungen zu erhalten.“
Kaspersky-Empfehlungen zum Schutz vor APT-Angriffen
- Eine zuverlässige Sicherheitslösung für Unternehmen wie Kaspersky Unified Monitoring and Analysis Platform (KUMA) für die Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene verwenden.
- Das Betriebssystem und sonstige Software von Drittanbietern regelmäßig aktualisieren.
- Dem SOC-Team Zugang zu aktueller Threat Intelligence (TI) gewähren und damit einen umfassenden Überblick über aktuelle Cyberbedrohungen verschaffen, die auf das Unternehmen abzielen. Kaspersky Threat Intelligence [3] bietet einen zentralen Zugang zu der TI des Unternehmens und versorgt es mit Cyberangriffsdaten und Erkenntnissen, die Kaspersky in über 25 Jahren gesammelt hat.
- Das Cybersecurity-Team über die neusten Bedrohungen mittels Online-Schulungen, wie mit dem von Kasperskys GReAT-Experten entwickeltem Kaspersky Expert Training [4] unterrichten.
- Unternehmen sollten Sicherheitsschulungen wie sie die Kaspersky Automated Security Awareness Platform [5] anbietet zum Sicherheitsbewusstsein einführen, um Mitarbeiten praktische Fähigkeiten zu vermitteln.
Weitere Informationen zu TriangleDB sind verfügbar unter https://securelist.com/triangledb-triangulation-implant/110050/
Kaspersky hat ein Tool namens „triangle_check“ veröffentlicht, das automatisch nach der Malware-Infektion sucht. Eine detaillierte Anleitung zur Überprüfung von Geräten ist unter https://securelist.com/find-the-triangulation-utility/109867/ verfügbar.
[1] https://securelist.com/triangledb-triangulation-implant/110050/
[3] https://go.kaspersky.com/test-threat-intelligence-de.html
[4] https://xtraining.kaspersky.com/
[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
Nützliche Links:
- Kaspersky Blogpost: https://securelist.com/find-the-triangulation-utility/109867/
- Kaspersky Threat Intelligence: https://go.kaspersky.com/test-threat-intelligence-de.html Kaspersky Expert Training: https://xtraining.kaspersky.com/
- Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform