三角测量行动：专家深入了解 iOS 零日攻击

用于针对 Apple iOS 设备的 TriangleDB 植入程序包含至少四个不同的模块，用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。

调查结果来自卡巴斯基，该公司详细介绍了这场名为“三角测量行动”的活动背后的对手，在秘密从受感染设备中窃取敏感信息的同时，竭尽全力隐藏和掩盖其踪迹。

这种复杂的攻击于 2023 年 6 月首次曝光，当时 iOS 已成为利用 iMessage 平台的零点击漏洞武器化零日安全漏洞（CVE-2023-32434 和 CVE-2023-32435）的目标传递可以完全控制设备和用户数据的恶意附件。

尽管卡巴斯基本身在今年年初成为目标之一，促使其调查其在功能齐全的高级持续威胁 (APT) 中所说内容的各个组成部分，但威胁行为者的规模和身份目前尚不清楚平台。

该攻击框架的核心是一个名为TriangleDB 的后门，攻击者利用 CVE-2023-32434（一个可被滥用执行任意代码的内核漏洞）获得目标 iOS 设备的 root 权限后部署该后门。

现在，根据俄罗斯网络安全公司的说法，植入程序的部署之前有两个验证器阶段，即 JavaScript 验证器和二进制验证器，执行这些阶段以确定目标设备是否与研究环境无关。

卡巴斯基研究人员 Georgy Kucherin、Leonid Bezvershenko 和 Valentin Pashkov在周一发布的一份技术报告中表示：“这些验证器收集有关受害设备的各种信息，并将其发送到 C2 服务器。”

“然后，这些信息将用于评估要植入 TriangleDB 的 iPhone 或 iPad 是否可能是研究设备。通过执行此类检查，攻击者可以确保他们的零日漏洞和植入物不会被烧毁。”

背景知识：攻击链的起点是受害者收到的不可见 iMessage 附件，该附件会触发零点击漏洞利用链，旨在秘密打开包含模糊 JavaScript 和加密负载的唯一 URL。

有效负载是 JavaScript 验证器，除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外，还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。

此步骤之后收集的信息将传输到远程服务器，以便接收未知的下一阶段恶意软件作为回报。在一系列未确定的步骤之后还交付了二进制验证器，这是一个执行以下操作的 Mach-O 二进制文件 –

• 从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志，以清除可能被利用的痕迹
• 删除从 36 个不同的攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件的证据
• 获取设备和网络接口上运行的进程列表
• 检查目标设备是否越狱
• 开启个性化广告跟踪
• 收集有关设备的信息（用户名、电话号码、IMEI 和 Apple ID），以及
• 检索已安装应用程序的列表

研究人员表示：“这些操作的有趣之处在于，验证器同时针对 iOS 和 macOS 系统实现了它们。”他补充说，上述操作的结果会被加密并渗透到命令和控制 (C2) 服务器以获取TriangleDB 植入。

后门采取的最初步骤之一是与 C2 服务器建立通信并发送心跳，随后接收删除崩溃日志和数据库文件的命令，以掩盖取证线索并妨碍分析。

还向植入程序发出定期从 /private/var/tmp 目录中提取文件的指令，其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。

麦克风录音模块的一个显着特点是它能够在设备屏幕打开时暂停录音，表明威胁行为者在雷达下飞行的意图。

此外，位置监控模块经过精心设计，可使用 GSM 数据，例如移动国家代码 ( MCC )、移动网络代码 (MNC) 和位置区域代码 ( LAC )，在 GPS 数据不可用时对受害者的位置进行三角测量。

研究人员表示：“三角测量背后的对手非常小心地避免被发现。” “攻击者还表现出了对 iOS 内部结构的深入了解，因为他们在攻击过程中使用了未记录的私有 API。”