Oleh Diposting pada

Hai sadayana,
Dinten ieu – sababaraha warta cybersecurity ngeunaan hiji kajadian anu urang nembé mendakan…

Ahli kami parantos mendakan serangan siber anu kompleks pisan sareng sasaran profésional nganggo alat sélulér Apple. Tujuan tina serangan éta nyaéta panempatan spyware anu teu jelas kana iPhone karyawan sahenteuna perusahaan urang – boh manajemén tengah sareng luhur.

Serangan éta dilaksanakeun nganggo iMessage anu teu katingali sareng kantétan jahat, anu ngagunakeun sababaraha kerentanan dina sistem operasi ios, dijalankeun dina alat sareng dipasang spyware. Panyebaran spyware lengkep disumputkeun sareng henteu peryogi tindakan ti pangguna. spyware lajeng surreptitiously ngirim inpo pribadi ka server jauh: rekaman mikropon, poto ti talatah instan, geolocations, sarta data ngeunaan sababaraha kagiatan sejenna nu boga alat nu kainféksi.

Sanajan serangan éta dipigawé cicingeun, inféksi dideteksi ku Kaspersky’s Integrated Monitoring and Analysis Platform (KUMA) – solusi SIEM aslina keur informasi kaamanan sarta manajemén acara; Sistem ngadeteksi anomali dina jaringan urang anu asalna tina alat Apple. Panaliti salajengna ku tim kami ngungkabkeun yén sababaraha belasan iPhones karyawan senior katépaan ku spyware énggal anu canggih anu kami namina “Triangulasi”.

Kusabab sifat katutup tina ios, teu aya (sareng teu kedah) alat sistem operasi standar pikeun ngadeteksi sareng ngahapus spyware ieu dina smartphone anu kainféksi. Jang ngalampahkeun ieu, hiji alat éksternal diperlukeun.

Indikasi teu langsung tina Triangulasi dina alat nganonaktipkeun kamampuan pikeun ngapdet ios. Pikeun pangakuan anu langkung akurat sareng dipercaya tina inféksi anu saleresna, anjeun kedah nyiptakeun salinan cadangan alat teras parios deui nganggo utilitas khusus. Rekomendasi anu langkung lengkep dijelaskeun dina tulisan téknis ieu ngeunaan Securelist. Kami ogé ngembangkeun utilitas deteksi gratis sareng bakal sayogi saatos tés.

Alatan peculiarities tangtu alamiah dina blocking apdet ios dina alat kainféksi, urang teu kapanggih cara éféktif pikeun miceun spyware tanpa kaleungitan data pamaké. Éta ngan ukur tiasa dilakukeun ku ngareset iPhone anu kainféksi kana setélan pabrik sareng masang versi panganyarna tina sistem operasi sareng sakumna lingkungan pangguna ti mimiti. Upami teu kitu, sanajan spyware dicabut tina mémori alat sanggeus reboot a, Triangulation masih bisa reinfect eta via vulnerabilities dina versi heubeul tina ios.

Laporan kami ngeunaan Triangulasi ngan ukur awal panalungtikan ngeunaan serangan canggih ieu. Dinten ieu kami nyebarkeun hasil analisa munggaran, tapi masih seueur padamelan anu kedah dilakukeun. Salaku kajadian terus ditalungtik, urang bakal ngamutahirkeun data anyar dina pos dedicated on Securelist, sarta baris babagi papanggihan lengkep urang dina Summit analis Kaamanan Internasional dina Oktober (tuturkeun warta dina situs).

Kami yakin Kaspersky sanes udagan utama serangan cyber ieu. Poé-poé anu bakal datang bakal langkung jelas sareng langkung rinci ngeunaan proliferasi spyware ieu di sakumna dunya.

Kami yakin yén alesan utama pikeun kajadian ieu nyaéta sifat proprietary ios. Sistem operasi mangrupikeun “kotak hideung”, dimana spyware sapertos Triangulation tiasa nyumput salami mangtaun-taun. Ngadeteksi sareng nganalisa ancaman sapertos kitu janten langkung hese ku monopoli Apple dina alat panalungtikan – ngajantenkeun éta tempat anu sampurna pikeun spyware. Kalayan kecap sanésna, sakumaha anu sering kuring nyarios, pangguna dibere ilusi kaamanan anu aya hubunganana sareng opacity pinuh ku sistem. Naon anu kajantenan dina ios teu dipikanyaho ku para ahli cybersecurity, sareng henteuna warta ngeunaan serangan henteu nunjukkeun yén mustahil – sakumaha anu ayeuna urang tingali.

Abdi hoyong ngingetkeun yén ieu sanés kasus serangan anu munggaran dina perusahaan kami. Kami sadar pisan yén kami damel di lingkungan anu agrésif pisan, sareng parantos ngembangkeun prosedur réspon kajadian anu pas. Hatur nuhun kana ukuran anu dilaksanakeun, perusahaan beroperasi sacara normal, prosés bisnis sareng data pangguna henteu kapangaruhan, sareng ancaman parantos nétralisasi. Urang terus ngajaga anjeun, sakumaha salawasna.

PS Naha “triangulasi”?

Pikeun mikawanoh spésifikasi parangkat lunak sareng hardware tina sistem anu diserang, Triangulasi nganggo téknologi Canvas Fingerprinting sareng ngagambar segitiga konéng dina mémori alat.


#Triangulasi #Trojan #pikeun #ios #Blog #resmi #Kaspersky

Oleh Diposting pada

Warta yén Qualcomm, anu ngical paralatan chip smartphone, nyukcruk pangguna kalayan layanan geolokasi na nyababkeun sakedik aduk dina pencét téknologi anyar-anyar ieu. Dina tulisan ieu kami bakal misahkeun bebeneran tina omong kosong dina carita éta, sareng ngabahas kumaha anjeun tiasa ngaminimalkeun pelacak geolokasi anu teu dihoyongkeun. Hal kahiji kahiji, hayu urang tingali kumaha geopositioning sabenerna jalan.

Kumaha alat sélulér anjeun nangtukeun lokasi anjeun

Métode geolokasi tradisional nyaéta nampi sinyal satelit tina sistem GPS, GLONASS, Galileo, atanapi Beidou. Ngagunakeun data ieu, panarima (chip dina smartphone atawa alat navigasi) ngalakukeun itungan jeung nangtukeun lokasina. Ieu cara anu cukup akurat anu henteu ngalibetkeun ngirimkeun inpormasi ku alat-hijina panarima. Sanajan kitu, aya drawbacks signifikan kana metoda geolocation ieu: teu dianggo di jero rohangan, sarta waktu nu diperlukeun lila lamun panarima teu dipaké unggal poé. Ieu kusabab alat kudu nyaho lokasi pasti tina satelit pikeun bisa ngalakukeun itungan, jadi eta kudu ngundeur naon disebut almanak, nu ngandung émbaran ngeunaan posisi jeung gerakan satelit, sarta ieu nyokot antara lima jeung sapuluh. menit. nyandak lamun ngundeur langsung ti satelit.

Salaku alternatif anu langkung gancang pikeun ngaunduh langsung tina satelit, alat tiasa ngaunduh almanak tina internét dina sababaraha detik ngalangkungan téknologi anu disebut A-GPS (Assisted GPS). Numutkeun spésifikasi aslina, ngan ukur data satelit anu ayeuna aya anu dikirimkeun, tapi sababaraha pamekar parantos nambihan perkiraan posisi satelit mingguan pikeun nyepetkeun ngitung koordinat sanaos panarima henteu gaduh sambungan internét pikeun dinten-dinten anu bakal datang. Téknologi ieu katelah Predicted Satellite Data Service (PSDS), sareng jasa Qualcomm anu disebatkeun di luhur mangrupikeun palaksanaan anu paling narik dugi ka ayeuna. Diluncurkeun dina 2007, jasa ieu dingaranan “gpsOne XTRA”, dingaranan “Bantuan IZat XTRA” dina taun 2013, sareng dina inkarnasi panganyarna na namina deui janten “Layanan Bantuan GNSS Qualcomm”.

Kumaha panarimaan sinyal satelit dianggo di jero rohangan na naon SUPL

Sakumaha didadarkeun di luhur, masalah sejen kalawan geopositioning ngagunakeun sinyal satelit nyaeta aranjeunna bisa jadi teu sadia di jero rohangan, jadi aya cara séjén pikeun nangtukeun lokasi smartphone. Metodeu klasik ti taun nineties nyaéta mariksa stasiun pangkalan mana anu tiasa ditampi dina titik ayeuna sareng ngitung perkiraan lokasi alat ku ngabandingkeun kakuatan sinyalna pikeun terang posisi stasion anu pasti.

Kalayan sababaraha modifikasi, éta ogé dirojong ku jaringan LTE modern. Smartphone ogé tiasa pariksa hotspot Wi-Fi caket dieu sareng nangtukeun perkiraan lokasina. Ieu biasana diaktipkeun ku pangkalan data terpusat anu nyimpen inpormasi ngeunaan titik aksés Wi-Fi sareng disayogikeun ku jasa anu tangtu, sapertos Google Location Services.
Sadaya metode geopositioning anu aya ditetepkeun ku SUPL (Secure User Plane Location), standar anu dirojong ku operator sélulér sareng smartphone, microchips, sareng pamekar sistem operasi. Aplikasi naon waé anu peryogi terang lokasi pangguna kéngingkeun tina sistem operasi sélulér nganggo kombinasi metode anu paling gancang sareng paling akurat anu sayogi ayeuna.

Taya privasi dijamin

Ngaksés jasa SUPL teu merta ngakibatkeun palanggaran privasi pamaké, tapi dina prakna, data mindeng bocor. Nalika telepon anjeun nangtukeun lokasi anjeun nganggo stasiun pangkalan sélulér anu pangcaketna, operator sélulér terang persis palanggan mana anu ngirim pamundut sareng dimana aranjeunna dina waktos éta. Google monetizes Layanan Lokasi na ku ngarékam lokasi pamaké sarta identifiers; kumaha oge, téhnisna ieu teu perlu.

Sedengkeun pikeun A-GPS, pangladén dina téori tiasa nyayogikeun data anu diperyogikeun tanpa ngumpulkeun idéntitas palanggan atanapi nyimpen datana. Sanajan kitu, loba pamekar ngalakukeun duanana. Palaksanaan Android baku SUPL ngirimkeun IMSI smartphone urang (nomer SIM unik) salaku bagian tina pamundut SUPL. Klién Qualcomm XTRA dina smartphone ngirimkeun “identifier téknis” palanggan, kalebet alamat IP. Numutkeun Qualcomm, aranjeunna “non-identipikasi” data; nyaeta, aranjeunna ngahapus rékaman linking identifiers customer sarta alamat IP sanggeus 90 poé, lajeng ngagunakeun éta éksklusif pikeun “tujuan bisnis” tangtu.

Hiji titik penting: data ti pamundut A-GPS teu bisa dipaké pikeun nangtukeun lokasi pamaké. Almanac anu sayogi ti pangladén sami dimana-mana di Bumi – éta alat pangguna anu ngitung lokasi. Kalayan kecap sanésna, sadaya pamilik jasa ieu tiasa nyimpen inpormasi ngeunaan pangguna anu ngirim pamundut ka server dina waktos anu tangtu, tapi sanés lokasi pangguna.

Tuduhan ngalawan Qualcomm

Publikasi anu kritis kana Qualcomm nyarioskeun panalungtikan ku batur anu nganggo nami Paul Privacy diterbitkeun dina situs wéb Nitrokey. Tulisan éta nyatakeun yén smartphone sareng chip Qualcomm ngirim data pribadi pangguna ka server perusahaan ngalangkungan protokol HTTP anu henteu énkripsi tanpa kanyahoan. Ieu konon lumangsung tanpa saha ngadalikeun eta, sabab fitur ieu dilaksanakeun dina tingkat hardware.

Sanaos masalah privasi data anu dialaman ku Qualcomm GNSS Assistance Service, panilitian ieu rada pikasieuneun sareng nyasabkeun ka pangguna, sanaos ngandung sababaraha kasalahan:

  • Dina smartphone heubeul, informasi memang bisa dikirim ngaliwatan HTTP teu aman, tapi dina 2016 Qualcomm ngalereskeun kerentanan XTRA.
  • Numutkeun kana perjanjian lisénsi, inpormasi sapertos daptar aplikasi anu dipasang tiasa dikirim ngaliwatan jasa XTRA, tapi tés praktis (pakét mariksa sareng diajar kode sumber Android) henteu nunjukkeun bukti yén ieu saleresna.
  • Sabalikna kacurigaan awal para panalungtik, fungsi babagi data henteu diasupkeun kana microchip (baseband) tapi dilaksanakeun dina tingkat OS, ku kituna tangtu bisa dikawasa: ku developer OS sarta ogé ku komunitas modding. Ngarobah sarta nganonaktipkeun jasa SUPL tangtu dina smartphone geus dipikawanoh skill saprak 2012, tapi ieu dipigawé demi GPS nu gawéna gancang ku alesan privasi.

Perlindungan Spy: kanggo sadayana sareng pikeun langkung ati-ati

Janten Qualcomm (sigana) henteu ngalacak kami. Kitu cenah, nyukcruk via geolokasi tiasa waé, tapi dina tingkat anu béda-béda: aplikasi cuaca sareng program anu sigana teu bahaya anu anjeun anggo unggal dintenna sacara sistematis. Anu kami naroskeun ka sadayana nyaéta hiji hal anu sederhana tapi penting: ngaleutikan jumlah aplikasi anu gaduh aksés ka lokasi anjeun. Barina ogé, anjeun tiasa sacara manual milih tempat pikeun nyandak ramalan cuaca, sareng ngalebetkeun alamat pengiriman nalika balanja online sanés masalah anu ageung.

Anjeun anu hoyong nyegah lokasina dirékam di mana waé kedah nyandak sababaraha léngkah tambahan pikeun ngajagaan diri:

  • Pareuman unggal jasa geolokasi salian ti GPS lami anu saé dina smartphone anjeun.
  • Anggo alat canggih pikeun meungpeuk telepon anjeun tina ngaksés jasa SUPL. Gumantung kana modél smartphone sareng jinis sistem operasi, ieu tiasa dilakukeun ku nyaring server DNS, sistem firewall, nyaring router, atanapi setélan smartphone khusus.
  • Hadé pisan mun teu ngagem telepon sélulér … sakabehna! Sanaos anjeun ngalakukeun sadayana di luhur, operator sélulér bakal tetep terang lokasi perkiraan anjeun iraha waé.


#Kumaha #AGPS #tiasa #dianggo #dina #smartphone #anjeun #sareng #naha #Qualcomm #ngalacak #anjeun

Oleh Diposting pada

Teu lami saatos urang nyerat ngeunaan kerentanan dina sistem operasi Apple sareng Microsoft, ogé dina chip Exynos Samsung, anu ngamungkinkeun hacking smartphone tanpa tindakan naon waé, muncul warta ngeunaan sababaraha liang kaamanan anu serius dina ios sareng macOS – salian ti éta. ka nu geus dieksploitasi ku panyerang. Kerentanan éta kritis pisan, pikeun merangan éta, Apple gancang ngaluarkeun apdet henteu ngan ukur pikeun sistem operasi anu pang anyarna, tapi ogé pikeun sababaraha vérsi anu sateuacana. Tapi hayu urang ngalakukeun léngkah-léngkah…

Kerentanan dina WebKit sareng IOSurfaceAccelerator

Dina total, dua kerentanan kapanggih. Anu kahiji – namina CVE-2023-28205 (tingkat ancaman: “luhur” [8.8/10]) – masalah mesin WebKit, nu jadi dadasar browser Safari (teu ngan eta; leuwih rinci handap). Intina kerentanan nyaéta, nganggo halaman jahat anu didamel khusus, jalma jahat tiasa ngalaksanakeun kode anu sawenang dina alat éta.

Kerentanan kadua – CVE-2023-28206 (tingkat ancaman “luhur”. [8.6/10]) – kapanggih dina obyek IOSurfaceAccelerator. Penyerang tiasa nganggo éta pikeun ngaéksekusi kode kalayan idin inti sistem operasi. Ku kituna, dua kerentanan ieu tiasa dianggo dina kombinasi: anu kahiji dianggo pikeun nembus alat heula supados anu kadua tiasa dieksploitasi. Anu kadua, kahareupna ngamungkinkeun anjeun “kabur kotak pasir” sareng ngalakukeun ampir naon waé sareng alat anu kainféksi.

Kerentanan tiasa dipendakan dina sistem operasi desktop macOS sareng sistem mobile: iOS, iPadOS sareng tvOS. Henteu ngan ukur generasi panganyarna tina sistem operasi anu rentan, tapi ogé generasi saacanna, ku kituna Apple parantos ngaluarkeun apdet (hiji-hiji) pikeun sadaya sistem: macOS 11, 12 sareng 13, iOS/iPadOS 15 sareng 16, sareng ogé tvOS 16.

Naha kerentanan ieu bahaya

Mesin WebKit mangrupikeun hiji-hijina mesin browser anu diidinan dina sistem operasi mobile Apple. Naon waé browser anu anjeun anggo dina iPhone, WebKit masih bakal dianggo pikeun ngajantenkeun halaman wéb (jadi browser naon waé dina ios dasarna nyaéta Safari).

Salian ti éta, mesin anu sami ogé dianggo nalika muka halaman wéb tina aplikasi anu sanés. Kadang-kadang malah henteu katingali sapertos halaman wéb, tapi WebKit masih bakal aub dina nampilkeunana. Éta sababna penting pisan pikeun masang apdet énggal anu aya hubunganana sareng Safari, sanaos anjeun nganggo browser anu béda sapertos Google Chrome atanapi Mozilla Firefox.

Kerentanan dina WebKit, sakumaha anu dijelaskeun di luhur, ngamungkinkeun anu disebut “no-klik” inféksi dina iPhones, iPads, atanapi Macs. Ieu ngandung harti yén alat-alat anu kainféksi tanpa aksi aktif ti pihak pamaké – ngan saukur mamingan aranjeunna ka situs jahat dijieun husus.

Seringna, kerentanan sapertos kitu dieksploitasi dina serangan anu disasarkeun ka individu anu kuat atanapi organisasi ageung (sanaos pangguna biasa ogé tiasa kakeunaan upami aranjeunna ngagaduhan nasib sial pikeun darat dina halaman anu kainféksi). Sareng sigana aya kajadian anu sami dina hal ieu. Sakumaha biasa, Apple henteu ngaluarkeun detil naon waé, tapi ku sadaya rekeningranté kerentanan ditétélakeun di luhur geus aktip dipaké ku panyerang kanyahoan masang spyware.

Ranté kerentanan parantos aktip dianggo ku panyerang anu teu dipikanyaho

Salaku tambahan, saprak CVE-2023-28205 sareng CVE-2023-28206 parantos janten kanyaho umum sareng bukti konsép parantos diterbitkeun pikeun kerentanan kadua, kamungkinan yén penjahat cyber anu sanés ogé bakal mimiti ngamangpaatkeunana.

Kumaha ngajaga diri tina kerentanan anu dijelaskeun

Tangtosna, cara anu pangsaéna pikeun ngajagaan tina CVE-2023-28205 sareng CVE-2023-28206 nyaéta masang apdet Apple énggal. Ieu naon anu anjeun kedah laksanakeun, gumantung kana alat anu dimaksud:

  • Upami anjeun gaduh salah sahiji alat ios, iPadOS, atanapi tvOS panganyarna, anjeun kedah ngapdet sistem operasi anjeun ka versi 16.4.1.
  • Upami Anjeun gaduh iPhone atawa iPad heubeul nu teu ngarojong deui OS panganyarna, Anjeun kudu ngamutahirkeun ka versi 15.7.5.
  • Upami Mac anjeun ngajalankeun Ventura OS panganyarna, kantun update kana macOS 13.3.1.
  • Upami Mac anjeun ngajalankeun macOS Big Sur atanapi Monterey, anjeun kedah ngapdet kana macOS 11.7.6 atanapi 12.6.5, masing-masing, jeung deuih install apdet misah pikeun Safari.

Sareng tangtosna, tong hilap ngajagi Mac anjeun nganggo parangkat lunak antipirus anu tiasa dipercaya anu tiasa ngajagi anjeun tina kerentanan anu teu tetep anyar.


#Pembaruan #urgent #pikeun #iPhone #ios #16.4.1 #sareng #Mac #macOS #13.3.1

Oleh Diposting pada

Sababaraha sumber média ngalaporkeun serangan ranté suplai massal nargétkeun pamaké sistem telepon 3CX VoIP. Panyerang anu teu dipikanyaho parantos suksés ngainféksi aplikasi 3CX VoIP pikeun Windows sareng macOS. Ayeuna cybercriminals nyerang pamaké maranéhanana ngaliwatan aplikasi pakarang ditandatanganan ku sertipikat 3CX valid. Daptar pamaké cukup lega – diwangun ku leuwih ti 600.000 pausahaan, kaasup merek luhur ti sakuliah dunya (American Express, BMW, Air France, Toyota, IKEA). Sababaraha peneliti nyebat serangan jahat ieu SmoothOperator.

Tétéla, trojan nu nyumput dina sakabéh versi software dirilis sanggeus 3 Maret; éta, ngawangun 18.12.407 jeung 18.12.416 pikeun Windows, jeung 18.11.1213 sarta engké pikeun macOS. Numutkeun hiji wawakil 3CX, kodeu jahat asup kana program alatan sababaraha komponén open source trojan unnamed dipaké ku tim ngembangkeun.

Serangan via 3CX software trojanized

Ngutip panaliti ti sababaraha perusahaan, BleepingComputer ngajelaskeun mékanisme serangan via klien Windows anu ditrojan sapertos kieu:

  • Pamaké ngundeur pakét pamasangan tina situs wéb resmi perusahaan sareng ngajalankeunana, atanapi nampi apdet pikeun program anu parantos dipasang;
  • Sakali dipasang, program trojan nyiptakeun sababaraha perpustakaan jahat, anu dianggo pikeun tahap serangan salajengna;
  • Malware lajeng ngundeur file .ico hosted on GitHub kalawan garis tambahan data jero;
  • Garis-garis ieu teras dianggo pikeun ngaunduh muatan jahat anu terakhir – anu dianggo pikeun nyerang pangguna akhir.

Mékanisme pikeun nyerang pangguna macOS rada béda. Anjeun tiasa mendakan pedaran lengkep dina situs web yayasan nirlaba Objective-See.

Naon anu hacker sanggeus?

Malware anu diunduh tiasa ngumpulkeun inpormasi ngeunaan sistem, ogé maok data sareng nyimpen kredensial tina profil pangguna browser Chrome, Edge, Brave sareng Firefox. Salaku tambahan, panyerang tiasa nganggo cangkang paréntah interaktif, anu sacara téoritis ngamungkinkeun aranjeunna ngalakukeun ampir naon waé sareng komputer korban.

Ahli Kaspersky ngulik panto tukang anu dianggo ku panyerang salaku bagian tina muatan ahir. Numutkeun analisis maranéhanana, backdoor ieu, dubbed Gopuram, dipaké utamana dina serangan on cryptocurrency pausahaan nu patali. Para ahli ogé nyangka, dumasar kana sababaraha petunjuk, yén grup Lasarus aya di tukangeun serangan éta. Rincian ngeunaan backdoor Gopuram, sareng indikator kompromi, tiasa dipendakan dina tulisan dina blog Securelist.

Naha serangan ieu bahaya pisan?

Versi trojan program ieu ditandatanganan sareng sertipikat resmi 3CX Ltd. dikaluarkeun ku DigiCert – sertipikat anu sami anu dianggo dina vérsi saméméhna tina program 3CX.

Ogé, numutkeun Objective-See, versi macOS tina malware henteu ngan ukur ditandatanganan ku sertipikat anu sah, tapi ogé otorisasi ku Apple! Ieu ngandung harti yén aplikasi diidinan ngajalankeun dina versi macOS panganyarna.

Kumaha tetep aman

Pamekar aplikasi nyarankeun nyabut pamasangan versi trojan program langsung nganggo klien wéb VoIP dugi ka pembaruan dileupaskeun.

Éta ogé wijaksana pikeun ngalaksanakeun panyilidikan anu jero ngeunaan kajadian éta pikeun mastikeun yén panyerang teu gaduh waktos nyandak alih komputer perusahaan anjeun. Sacara umum, pikeun ngadalikeun naon anu lumangsung dina jaringan perusahaan sareng pikeun ngadeteksi kagiatan jahat dina waktosna, kami nyarankeun ngagunakeun kelas jasa Detect and Managed Response (MDR).


#serangan #ranté #suplai #konsumén #3CX

Oleh Diposting pada

Sababaraha sumber média ngalaporkeun serangan ranté suplai massal nargétkeun pamaké sistem telepon 3CX VoIP. Panyerang anu teu dipikanyaho parantos suksés ngainféksi aplikasi 3CX VoIP pikeun Windows sareng macOS. Ayeuna cybercriminals nyerang pamaké maranéhanana ngaliwatan aplikasi pakarang ditandatanganan ku sertipikat 3CX valid. Daptar pamaké cukup lega – diwangun ku leuwih ti 600.000 pausahaan, kaasup merek luhur ti sakuliah dunya (American Express, BMW, Air France, Toyota, IKEA). Sababaraha peneliti nyebat serangan jahat ieu SmoothOperator.

Tétéla, trojan nu nyumput dina sakabéh versi software dirilis sanggeus 3 Maret; éta, ngawangun 18.12.407 jeung 18.12.416 pikeun Windows, jeung 18.11.1213 sarta engké pikeun macOS. Numutkeun hiji wawakil 3CX, kodeu jahat asup kana program alatan sababaraha komponén open source trojan unnamed dipaké ku tim ngembangkeun.

Serangan via software trojanized 3CX

Ngutip panaliti ti sababaraha perusahaan, BleepingComputer ngajelaskeun mékanisme serangan via klien Windows anu ditrojan sapertos kieu:

  • Pamaké ngundeur pakét pamasangan tina situs wéb resmi perusahaan sareng ngajalankeunana, atanapi nampi apdet pikeun program anu parantos dipasang;
  • Sakali dipasang, program trojan nyiptakeun sababaraha perpustakaan jahat, anu dianggo pikeun tahap serangan salajengna;
  • Malware lajeng ngundeur file .ico hosted on GitHub kalawan garis tambahan data jero;
  • Garis-garis ieu teras dianggo pikeun ngaunduh muatan jahat anu terakhir – anu dianggo pikeun nyerang pangguna akhir.

Mékanisme pikeun nyerang pangguna macOS rada béda. Anjeun tiasa mendakan pedaran lengkep dina situs web yayasan nirlaba Objective-See.

Naon anu hacker sanggeus?

Malware anu diunduh tiasa ngumpulkeun inpormasi ngeunaan sistem, ogé maok data sareng nyimpen kredensial tina profil pangguna browser Chrome, Edge, Brave sareng Firefox. Salaku tambahan, panyerang tiasa nganggo cangkang paréntah interaktif, anu sacara téoritis ngamungkinkeun aranjeunna ngalakukeun ampir naon waé sareng komputer korban.

Naha serangan ieu bahaya pisan?

Versi trojan program ieu ditandatanganan sareng sertipikat resmi 3CX Ltd. dikaluarkeun ku DigiCert – sertipikat anu sami anu dianggo dina vérsi saméméhna tina program 3CX.

Ogé, numutkeun Objective-See, versi macOS tina malware henteu ngan ukur ditandatanganan ku sertipikat anu sah, tapi ogé otorisasi ku Apple! Ieu ngandung harti yén aplikasi diidinan ngajalankeun dina versi macOS panganyarna.

Kumaha tetep aman

Pamekar aplikasi nyarankeun nyabut pamasangan versi trojan program langsung nganggo klien wéb VoIP dugi ka pembaruan dileupaskeun.

Éta ogé wijaksana pikeun ngalaksanakeun panyilidikan anu jero ngeunaan kajadian éta pikeun mastikeun yén panyerang teu gaduh waktos nyandak alih komputer perusahaan anjeun. Sacara umum, pikeun ngadalikeun naon anu lumangsung dina jaringan perusahaan sareng pikeun ngadeteksi kagiatan jahat dina waktosna, kami nyarankeun ngagunakeun kelas jasa Detect and Managed Response (MDR).


#serangan #ranté #suplai #konsumén #3CX

Oleh Diposting pada

Versi panganyarna tina ios sareng iPadOS (16.3) sareng macOS (Ventura 13.2) parantos ngalereskeun kerentanan anu dilacak salaku CVE-2023-23530 sareng CVE-2023-23531. Kami ngajelaskeun sifat bug ieu, naha aranjeunna peryogi perhatian anjeun, naon hubunganna spyware Pegasus sareng éta, sareng kunaon anjeun kedah nyandak apdet kaamanan ios, iPad, sareng macOS ka hareup sacara serius.

NSPredicate, FORCEDENTRY, Pegasus sareng anu sanésna

Pikeun ngajelaskeun naha update panganyarna ieu penting, urang peryogi latar tukang saeutik. Pondasi parangkat lunak aplikasi anu diwangun pikeun sistem operasi Apple disebut — sanaos anjeun henteu percanten — kerangka Yayasan! Ieu katerangan Apple ngeunaan éta:

“Kerangka Yayasan nyayogikeun lapisan fungsionalitas dasar pikeun aplikasi sareng kerangka, kalebet neundeun data sareng kegigihan, pamrosésan téks, itungan tanggal sareng waktos, asihan sareng saringan, jeung jaringan. Kelas, protokol, sareng jinis data anu ditetepkeun ku yayasan dianggo dina macOS, iOS, watchOS, sareng tvOS SDK.

Langkung ti dua taun ka pengker, dina Januari 2021, panaliti kaamanan ios namina CodeColorist nyebarkeun laporan anu nunjukkeun kumaha palaksanaan kelas NSPredicate sareng NSExpression (anu mangrupikeun bagian tina kerangka Yayasan) tiasa dieksploitasi pikeun ngaéksekusi kode anu sawenang. Salaku kajadian, kelas ieu tanggung jawab asihan jeung nyaring data. Anu penting di dieu dina kontéks naon anu kami nyarioskeun ka anjeun dina tulisan blog ieu nyaéta yén alat ieu ngamungkinkeun pikeun ngaéksekusi skrip dina alat tanpa pariksa tanda tangan digital kodeu.

Pananjung utama CodeColorist nyaéta skrip sapertos kitu tiasa ngabantosan mékanisme kaamanan Apple – kalebet ngasingkeun aplikasi. Ieu ngamungkinkeun pikeun nyieun aplikasi jahat anu maok data (sapertos korespondensi pangguna atanapi poto acak tina galeri) tina aplikasi anu sanés.

Dina Maret 2022, makalah diterbitkeun ngeunaan aplikasi praktis tina aplikasi sapertos kitu – eksploitasi klik-nol FORCEDENTRY – anu dianggo pikeun nyebarkeun malware Pegasus anu kasohor. Kerentanan dina NSPredicate sareng NSExpression ngamungkinkeun malware ieu pikeun ngajalankeun sandbox escapes sareng kéngingkeun aksés kana data sareng fungsionalitas di luar wates anu ditetepkeun sacara ketat dimana sadaya aplikasi ios dijalankeun.

Saatos karya téoritis CodeColorist sareng diajar langsung ngeunaan eksploitasi FORCEDENTRY, Apple ngalaksanakeun sababaraha ukuran sareng larangan kaamanan. Nanging, panilitian énggal nunjukkeun yén éta masih gampang lulus.

Naha CVE-2023-23530 sareng CVE-2023-23531 bahaya

Kerentanan CVE-2023-23530 sareng CVE-2023-23531 parantos nyayogikeun cara énggal pikeun ngalangkungan watesan ieu. Anu kahiji, CVE-2023-23530, asalna tina persis kumaha Apple ngabéréskeun masalah éta. Khususna, aranjeunna nyusun daptar deprecations kelas sareng metode anu nyababkeun résiko kaamanan anu jelas dina NSPredicate. Nyekel téh, ngagunakeun métode euweuh kaasup dina daptar ditampik, daptar ieu bisa musnah bersih lajeng nganggo set pinuh ku métode jeung kelas.

Kerentanan kadua, CVE-2023-23531, aya hubunganana sareng kumaha prosés dina ios sareng macOS saling berinteraksi, sareng kumaha prosés nampi data nyaring inpormasi anu datang. Kantun nempatkeun, prosés ngirim data tiasa nambihan tag “eusi anu diverifikasi”, teras eupan prosés panampa naskah jahat anu nganggo NSPredicate, anu dina sababaraha kasus bakal dieksekusi tanpa verifikasi.

Numutkeun kana panaliti, dua téknik ieu pikeun ngalangkungan pamariksaan kaamanan ngamungkinkeun eksploitasi sababaraha kerentanan khusus anu sanés. Panyerang tiasa nganggo kerentanan ieu pikeun kéngingkeun aksés kana data pangguna jahat sareng fitur sistem operasi, bahkan masang aplikasi (kalebet aplikasi sistem). Kalayan kecap sanésna, CVE-2023-23530 sareng CVE-2023-23531 tiasa dianggo pikeun nyiptakeun eksploitasi jinis FORCEDENTRY.

Pikeun nunjukkeun kamampuan CVE-2023-23530 sareng CVE-2023-23531, panaliti ngarékam pidéo anu nunjukkeun kumaha aplikasi jahat tiasa dilakukeun pikeun ngaéksekusi kode di jero SpringBoard (aplikasi standar anu ngatur layar utama dina ios) dina iPad. . Pikeun bagian na, SpringBoard geus ditingkatkeun hak husus sarta sababaraha hak aksés – kaasup kana kaméra, mikropon, sajarah panggero, poto, jeung data geolocation. Naon deui – eta bisa ngusap alat sagemblengna.

Naon hartosna pikeun kaamanan ios sareng macOS

Urang kedah negeskeun yén cilaka anu ditimbulkeun ku CVE-2023-23530 sareng CVE-2023-23531 murni téoritis: teu aya kasus eksploitasi di alam liar anu kacatet. Ogé, apdet ios 16.3 sareng macOS Ventura 13.2 parantos nambal, janten upami anjeun masangna dina waktosna, anjeun dianggap aman.

Kusabab ieu, urang henteu terang kumaha Apple parantos nambal kerentanan éta Ieu waktos. Panginten solusi pikeun patch ieu ogé bakal dipendakan. Nanging, dina paguneman sareng Wired, para panaliti nyalira yakin yén kerentanan anyar kelas ieu bakal terus muncul.

Émut yén, ngan saukur ngajalankeun skrip dina ios nganggo NSPredicate henteu cekap pikeun hack anu suksés. Panyerang masih kedah asup kana alat korban pikeun tiasa ngalakukeun naon waé. Dina kasus FORCEDENTRY, ieu kalebet ngagunakeun kerentanan anu sanés: PDF anu katépaan anu nyamar salaku file GIF anu teu salah dilebetkeun kana alat target via iMessage.

Kamungkinan kerentanan sapertos anu dianggo dina serangan APT tinggi, janten kedah diulang deui pancegahan anu anjeun tiasa laksanakeun. Kami gaduh tulisan anu misah dina subjek ieu dimana Costin Raiu, Diréktur Tim Panaliti & Analisis Global (GReAT), ngajelaskeun sacara rinci kumaha cara ngajagaan diri anjeun tina malware kelas Pegasus sareng kunaon éta jalanna. Ieu kasimpulan ringkes naséhatna:

  • Balikan deui iPhone sareng iPad anjeun langkung sering – sesah pikeun panyerang kéngingkeun pijakan permanén dina ios, sareng ngamimitian deui sering maéhan malware.
  • Pareuman iMessage sareng FaceTime sabisana – aplikasi ieu nyayogikeun titik éntri anu cocog pikeun nyerang alat ios.
  • Gantina Safari, make browser alternatif kawas, sebutkeun, Firefox Pokus.
  • Entong nuturkeun tautan dina pesen.
  • Pasang panyalindungan anu dipercaya dina sadaya alat anjeun.
  • Sarta pamustunganana (sakumaha urang terus keukeuh ad infinitum), tetep sistem operasi anjeun nepi ka tanggal (jeung ti ayeuna, meureun tetep panon ngadeukeutan dina ios, iPadOS, sarta apdet macOS sakumaha jeung sakumaha aranjeunna dileupaskeun).


#Apdet #iPhone #ios #sareng #Mac #macOS #Ventura