Целевые атаки на iOS-устройства затронули сотрудников Kaspersky

Целевые атаки на iOS-устройства затронули сотрудников Kaspersky

Целевые атаки на iOS-устройства затронули сотрудников Kaspersky

Исследователи из Kaspersky обнаружили новый тип вредоносной программы, нацеленной на iOS-устройства. Эта целевая киберкампания получила имя «Операция Триангуляция» (Operation Triangulation).

Описанный экспертами вредонос проникает на девайсы жертв с помощью эксплойта, который доставляется в скрытом сообщении iMessage. После заражения он получает полный контроль над смартфоном и доступ к пользовательским данным. Основная цель атакующих — кибершпионаж.

«Лаборатория Касперского» выявила эту атаку благодаря SIEM-системе Kaspersky Unified Monitoring and Analysis Platform (KUMA), которая анализировала сетевой трафик внутри корпоративной Wi-Fi-сети организации.

Анализ показал, что злоумышленники атаковали iOS-устройства нескольких сотрудников Kaspersky, подключенных к этой сети. Эксперты выяснили, что злоумышленникам не удалось скомпрометировать данные компании и критические процессы. Расследование продолжается.

Заражение начиналось с того, что жертва получала скрытое сообщение iMessage с вложением, содержащим эксплойт. Он отрабатывал без участия пользователя (так называемый Zero-Click).

Атакующие задействовали уязвимость, допускающую выполнение вредоносного кода и повышение прав на устройстве. Именно так киберпреступники получали полный контроль над зараженным устройством и доступ ко всем данным. После этого само сообщение iMessage, вызвавшее заражение, автоматически удалялось.

Задача — незаметный сбор и передача информации с устройства пользователи на удаленные серверы. Хакеров интересовали записи с микрофона, фотографии из мессенджеров, геолокация и другие сведения о действиях владельца смартфона. Хотя многое еще предстоит выяснить, исследователи считают, что эта атака была направлена не только на сотрудников Kaspersky.

Напомним, сегодня же ФСБ и ФСО России сообщили об операции американской разведки, проведенную с использованием мобильных устройств Apple.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вымогатели OldGremlin вернулись в Россию с новыми инструментами атаки

По данным «Лаборатории Касперского», в первой половине 2025 года атакам OldGremlin подверглись восемь крупных российских организаций — представители сфер промышленного производства, ретейла, ИТ и здравоохранения.

Промышляющая вымогательством русскоязычная группировка OldGremlin известна ИБ-сообществу с 2020 года. Для проникновения в корпоративные сети злоумышленники используют целевые рассылки, запускают шифрование файлов в среднем через 49 дней после взлома и требуют солидный выкуп за расшифровку — до $17 миллионов.

Как оказалось, за полгода отсутствия OldGremlin в России ее инструментарий обновился. Специалисты Kaspersky выявили бэкдор, открывающий удаленный доступ к зараженным устройствам; для запуска вредоносных скриптов используется легитимный интерпретатор Node.js.

Чтобы отключить защиту Windows и без проблем запустить шифровальщика, взломщики эксплуатируют уязвимость в легитимном драйвере. Напомним, в начале лета Microsoft объявила о планах регулярно удалять устаревшие драйверы из каталога Windows Update, так как они могут создать угрозу безопасности.

Обновленный шифровальщик не только блокирует доступ к содержимому файлов, но также передает на C2 актуальный статус. Дополнительный инструмент отключает устройство от сети на время шифрования и удаляет следы вредоносной активности. Создаваемое им сообщение с требованием выкупа теперь содержит имя «OldGremlins».

«Злоумышленники вернулись с усовершенствованным инструментарием, — комментирует эксперт Kaspersky Янис Зинченко. — Это в очередной раз подчёркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность, она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru