Kaspersky раскрыла подробности шпионской операции против владельцев iPhone

Екатерина Быстрова 25 Октября 2023 - 15:31

Корпорации

Государство

iOS

Лаборатория Касперского

Уязвимость нулевого дня

Таргетированные атаки

...

Kaspersky раскрыла подробности шпионской операции против владельцев iPhone

Бэкдор TriangleDB, который использовался в целевых кибератаках на iOS-устройства, включал как минимум четыре различных модуля, предназначенных для записи звука с микрофона, извлечения связки ключей iCloud и кражи данных из БД SQLite.

TriangleDB стал основным орудием в шпионской кампании Operation Triangulation («операция Триангуляция»), которая затронула даже сотрудников «Лаборатории Касперского».

На днях Kaspersky раскрыла подробности кибероперации, в частности, добавив информацию про печально известный имплант TriangleDB. Вредонос разворачивался уже после успешного получения прав root на целевом iOS-устройстве.

В этом случае киберпреступники использовали уязвимость под идентификатором CVE-2023-32434, затрагивающую ядро и открывающую возможность для выполнения кода.

По словам специалистов «Лаборатории Касперского», атакующие разворачивали TriangleDB только после двух этапов валидации: JavaScript Validator и Binary Validator. Такой подход нужен был, чтобы исключить запуск в среде для анализа.

В процессе проверки вредонос собирал различную информацию о девайсе жертвы, после чего отправлял её на командный сервер (C2). Затем, когда операторы убеждались в перспективности атаки, эти сведения использовались для установки TriangleDB.

Отправной точкой для эксплуатации всегда служило входящее сообщение в iMessage с невидимым вложением. Именно последнее запускало соответствующий эксплойт.

Попав в систему, зловред снимал цифровой отпечаток устройства с помощью техники «canvas fingerprinting»: рисовался жёлтый треугольник на розовом фоне с WebGL, после чего подсчитывалась его контрольная сумма.

Бинарник в формате Mach-O, также используемый для валидации, мог осуществлять следующие действия:

удалять логи из директории /private/var/mobile/Library/Logs/CrashReporter;
удалять следы отправленного по iMessage вредоносного вложения (посылалось с 36 различных ящиков в Gmail, Outlook и Yahoo);
получать список запущенных процессов и сетевых интерфейсов;
проверять наличие джейлбрейка;
включать отслеживание и персонализированную рекламу;
получать имя пользователя девайса, телефонный номер, IMEI и идентификатор Apple;
получать список установленных приложений.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 14:42

MaxPatrol Корпорации Системы мониторинга событий безопасности SIEM-системы Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC) Positive Technologies

Positive Technologies вывела MaxPatrol 360 в отдельный центр управления SOC

Positive Technologies расширила продуктовую линейку и представила MaxPatrol 360 — решение для управления расследованиями, обработки инцидентов и повседневной работы SOC из единого интерфейса. Продукт рассчитан на то, чтобы собрать в одном окне события ИБ, действия аналитиков и рабочие процессы, которые в реальности у многих команд до сих пор размазаны по разным системам.

Появление такого решения выглядит вполне логично. На службы ИБ сейчас давит всё и сразу: атак становится больше, техники усложняются, злоумышленники всё активнее используют ИИ, а аналитики SOC продолжают тонуть в потоке уведомлений, ручных проверок и бесконечных переключений между разными средствами защиты.

В такой ситуации рынок действительно давно шёл к инструментам, которые помогают не только видеть инциденты, но и нормально выстраивать вокруг них операционную работу.

В Positive Technologies говорят, что MaxPatrol 360 должен закрывать весь цикл работы с инцидентом: от обнаружения и первичной обработки до реагирования, устранения последствий и доработки правил детектирования. Проще говоря, идея в том, чтобы аналитик не просто увидел тревогу, а мог в той же системе довести историю до конца, не перескакивая между несколькими интерфейсами.

Одна из ключевых особенностей продукта — централизованное управление экспертизой SIEM-системы и её распространением между несколькими инстансами. Такой подход особенно важен для крупных компаний, холдингов, MSSP и организаций со множеством распределённых инфраструктур, где нужно следить за тем, чтобы подходы к детектированию и обработке событий были едиными, а не жили своей жизнью в каждом контуре.

Ещё одна заметная функция — мультитенантность. Она позволяет из одной консоли управлять сразу десятками инфраструктур. Для компаний с филиальной структурой или для провайдеров сервисов безопасности это, по сути, один из базовых сценариев использования: меньше хаоса, меньше ручной рутины и меньше шансов, что важные события потеряются между разными панелями и командами.

В продукте также сделали ставку на гибкость. Клиенты и интеграторы могут самостоятельно добавлять интеграции и коннекторы через открытый API, чтобы подстроить систему под свою инфраструктуру и собственные процессы, а не наоборот.

Для расследований и автоматизации обработки инцидентов MaxPatrol 360 собирает данные со средств защиты, работающих в инфраструктуре. Речь идёт как о продуктах Positive Technologies, так и о сторонних решениях. В связке с собственной экосистемой вендора это может включать анализ сетевого трафика, поведение конечных узлов, события из SIEM и данные об уязвимостях на активах.

В компании считают, что решение подойдёт не только крупным организациям, но и более компактным заказчикам, а также субъектам КИИ. Среди возможных сценариев — автоматизация внутренних запросов ИБ-отдела, выстраивание взаимодействия между ИБ и ИТ, а также работа с регуляторами через встроенные расширения.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!