Russia Blames US Intelligence for iOS Zero-Click Attacks
2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。 同じ日に、ロシアの連邦保安庁 (FSB:Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国/中国/イスラエル/シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。
Kaspersky が公開した、この iMessage ゼロクリック搾取に関連していると思われるキャンペーンについて、FSB は IoC (indicator of compromise) や技術的な詳細を公表していない。
Kaspersky が Operation Triangulation と命名したキャンペーンでは、大量のデータが収集されているため分析には時間が必要だと、同社は述べている。その一方で Kaspersky は、悪意のメッセージがターゲットに送信されることから始まる、iMessage 機能を介したゼロクリック攻撃に関連すると捉えているようだ。この悪意のメッセージには、侵害を促進するための添付ファイルが含まれており、ユーザーの操作を必要とせずに、自動的にエクスプロイトが発動されるという。
そして、エクスプロイト・チェーンは、リモート・コード実行の脆弱性を悪用することから始まる。この悪意のコードは、特権昇格エクスプロイトなどを実施するコンポーネントを、C2 サーバからダウンロードするように設計されている。
最終的なペイロードは、root 権限で実行される完全な機能を備えた APT プラットフォームであると、Kaspersky は説明している。同社によると、調査は継続中であるが、このマルウェアがシステムやユーザーの情報を収集するコマンドをサポートし、C2 サーバから取得される任意のコードを、プラグイン・モジュールとして実行する明確な兆候があるようだ。
最終的なペイロードが配信されると、エクスプロイトを配信するメッセージは削除される。しかし、この攻撃により侵害された iPhone には、痕跡が残されると、Kaspersky は述べている。同社は、「悪意のツールセットは、永続性をサポートしていないが、それは OS による制限があるからだと思われる。ただし、複数のデバイスのタイムラインを分析すると、再起動後に再感染している可能性が示されている」と説明している。
この攻撃が、ゼロデイ脆弱性の悪用を伴うものであるかどうかは判明していない。ただし、この攻撃は 2019年までさかのぼることを、Kaspersky は確認している。そして、現在も攻撃は続いており、標的となることが確認されている iOS のバージョンは、2022年9月にリリースされた iOS 15.7 と、最新の 16.5 だとされる。
Kaspersky は、デバイスやネットワークの IoC と、C2 ドメインに加えて、フォレンジック調査の方法について詳細を公開している。
iOS の脆弱性を悪用するスパイウェアにより、米国の諜報機関がロシアの外交官から、機密情報を接種しているという内容の記事です。ロシアが非難する内容について、また、スパイウェアの正体については、不明な点が多く残されているはずです。よろしければ、2023/03/28 の「米大統領令による商用スパイウェア制限:政府による使用については曖昧さが残る」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.