Apple iOS ゼロデイを狙う Triangulation：巧妙な手口と検出回避のテクニックとは？

iOS Zero-Day Attacks: Experts Uncover Deeper Insights into Operation Triangulation

2023/10/24 TheHackerNews — Apple iOS デバイスを標的とする TriangleDB というインプラントは、少なくとも４種類のモジュールを搭載するようだ。その内容は、マイクの録音／iCloud Keychain の抽出／SQLite データベースからのデータの窃取／位置情報の窃取などと推定されている。この Operation Triangulation と名付けられたキャンペーンを操る敵対者は、侵害したデバイスから機密情報を密かに盗み出す一方で、その痕跡を隠蔽するために多大な労力を費やしたと、Kaspersky は詳述している。

この巧妙な攻撃が露見したのは、2023年6月のことである。その当時の iOS デバイスが、ゼロデイ脆弱性 CVE-2023-32434／CVE-2023-32435 を悪用する、ゼロクリック・エクスプロイトの標的だったことが判明したのだ。このエクスプロイトは、 iMessage プラットフォームを介して悪意の添付ファイルを配信し、デバイスとユーザーのデータを完全に制御するものだった。

2023年の初頭において Kaspersky 自身も標的の１つになり、さまざまなコンポーネントの調査を実施した同社は、完全な機能を備えた高度な APT の存在を指摘していた。しかし、その規模や脅威のアクターの正体については、現時点においても不明である。

この攻撃フレームワークの中核は、TriangleDB と呼ばれるバックドアである。ここで攻撃者が悪用するのは、カーネルに存在する任意のコード実行の脆弱性 CVE-2023-32434 である。その悪用に成功した攻撃者は、ターゲット iOS デバイスの root 権限を取得し、バックドアを展開していく。

Kaspersky によると、このインプラントの展開に先行して、JavaScript Validator と Binary Validator という２つの確認ステップが存在する。それらは、ターゲット・デバイスと研究環境との関連性を判断するために実行されるという。

Kaspersky の研究者である Georgy Kucherin、Leonid Bezvershenko、Valentin Pashkov は、月曜日に発表された技術レポートの中で、「これらの確認ステップにおいて、被害デバイスに関する様々な情報が収集され、それらは C2 サーバに送信される。それらの情報は、TriangleDB を埋め込む iPhone／iPad が、研究用デバイスであるかどうかを判断するために使用される。このような確認ステップを踏むことで、ゼロデイ・エクスプロイトのインプラントの存在は隠される」と述べている。

仕組みを説明しよう： 攻撃チェーンの起点となるのは、被害者が受信する目に見えない iMessage の添付ファイルである。それにより、一意の URL を秘密裏に開くように設計された、ゼロクリック・エクスプロイト・チェーンがトリガーされる。この URL には、NaCl 暗号ライブラリの難読化された JavaScript コードと、暗号化されたペイロードが含まれている。

このペイロードは JavaScript Validator であり、さまざまな演算を行い、Media Source API と WebAssembly の存在をチェックする。また、WebGL でピンクの背景に黄色の三角形を描き、そのチェックサムを計算する。それにより、canvas fingerprinting と呼ばれる、ブラウザの fingerprinting 技術を実行する。

このステップで収集された情報は、リモート・サーバに送信され、未知のマルウェアが配信される。また、一連の未決定のステップの後には、Mach-O バイナリ・ファイルである Binary Validator が配信される。それに続いて、以下の手順が実行される。

• “private/var/mobile/Library/Logs/CrashReporter” ディレクトリからクラッシュ・ログを削除し、悪用の痕跡を消す。
• 攻撃者が管理する 36 種類の Gmail／Outlook／Yahoo 電子メール・アドレスから送信された、悪意の iMessage 添付ファイルの証拠を削除する。
• デバイス上で実行されているプロセスとネットワーク・インターフェイスのリストを取得する。
• ターゲット・デバイスにおけるジェイル・ブレイクの有無を確認する。
• パーソナライズされた広告トラッキングをオンにする。
• デバイスに関する情報、ユーザー名／電話番号／IMEI／Apple ID を収集する。
• インストールされているアプリのリストを取得する。

研究者たちは「これらのアクションにおいて興味深いのは、iOS と macOS に対して、確認ステップが実装されていることだ。そして、そのアクションの結果は暗号化され、TriangleDB インプラントをフェッチするために、Command and Control (C2) サーバへと送信される」と付け加えている。

このバックドアの最初のステップは、C2 サーバとの通信を確立してハートビートを送信することである。その後に、クラッシュ・ログとデータベース・ファイルを削除するコマンドを受信し、フォレンジックの対象となる痕跡を隠蔽する。

このインプラントは、位置情報／iCloud Keychain／SQL 関連／マイク録音データなどが保存される “/private/var/tmp” ディレクトリから、ファイルを定期的に抽出するための指示も発行する。

また、マイク録音モジュールの特筆すべき機能は、デバイスのスクリーンが ON の場合や、バッテリー残量が 10% 未満の場合の、録音の一時停止である。つまり、脅威アクターによる検知回避の意図が示されている。

さらに、位置情報モニタリング・モジュールは、GPS データが利用できない場合に、被害者の位置を三角測量する。具体的に言うとに、携帯国コード (MCC)／モバイル・ネットワーク・コード (MNC)／ロケーション・エリア・コード (LAC) などの GSM データが組織化されているという。

研究者たちは、「この三角測量を用いる敵対者は、検出を回避するために細心の注意を払っていた。また、一連の攻撃を分析した結果として、文書化されていない非公開 API の使用も確認されている。つまり、この攻撃者は、iOS の内部をよく理解していることになる」と述べている。

この Apple のゼロデイ脆弱性 CVE-2023-32434／CVE-2023-32435 が公表された直後に、同社の各デバイスにアップデートが提供されました。直近の Apple の脆弱性は、2023/10/05 の「Apple iOS のゼロデイ CVE-2023-42824 が FIX：バージョン 17.0.3 で対応」です。よろしければ、Apple で検索と併せて、ご利用ください。