Mientras monitoreaban el tráfico de red de su propia red Wi-Fi corporativa usando Kaspersky Unified Monitoring and Analysis Platform (KUMA), descubrieron una campaña APT móvil previamente desconocida dirigida a dispositivos iOS. Llamaron a esta campaña “Operación Triangulación”.
Los objetivos se infectan mediante exploits de cero clics a través de la plataforma iMessage, y el malware se ejecuta con privilegios de raíz, lo que les otorga un control total sobre los dispositivos y los datos de los usuarios.
Esta es una investigación en curso, la cantidad de material que recopilan es sustancial y tomará tiempo analizarlo.
Dada la complejidad del ataque, están seguros de que no son los únicos objetivos e invitan a todos a unirse a la investigación.
Si tienen más detalles para compartir, comuníquense con ellos a través de la dirección de correo electrónico triangulación[at]kaspersky.com.
Hasta ahora, se ha descubierto que las copias de seguridad de los dispositivos móviles contienen una copia parcial del sistema de archivos, incluyendo algunos datos del usuario y las bases de datos del servicio.
Las marcas de tiempo de los archivos, las carpetas y los registros de la base de datos permiten reconstruir aproximadamente los eventos que ocurren en el dispositivo.
La herramienta “mvt-ios” genera una línea de tiempo ordenada de eventos en un archivo llamado “timeline.csv”, similar a una línea de tiempo utilizada en herramientas forenses digitales convencionales.
Utilizando esta línea de tiempo, se ha logrado identificar artefactos específicos que indican un compromiso en los dispositivos.
Esto ha permitido avanzar en la investigación y reconstruir la secuencia general de infección:
- Los dispositivos iOS de destino reciben un mensaje a través del servicio iMessage, con un archivo adjunto que contiene un exploit. Sin ninguna interacción por parte del usuario, el mensaje activa una vulnerabilidad que resulta en la ejecución de código.
- El código dentro del exploit descarga varias etapas adicionales desde el servidor C&C, las cuales incluyen exploits adicionales para la escalada de privilegios.
- Tras una explotación exitosa, se descarga una carga útil final desde el servidor C&C, la cual es una plataforma APT completamente funcional.
- El mensaje inicial y el exploit en el archivo adjunto son eliminados.
El conjunto de herramientas maliciosas no admite la persistencia, probablemente debido a las limitaciones del sistema operativo.
Las líneas de tiempo de varios dispositivos indican que existe la posibilidad de reinfección después de reiniciar.
Los rastros más antiguos de infección descubiertos hasta ahora datan de 2019. A la fecha de este artículo, en junio de 2023, el ataque continúa y la versión más reciente de los dispositivos exitosamente atacados es iOS 15.7.
El análisis de la carga útil final aún está en curso.
El código se ejecuta con privilegios de raíz y utiliza una serie de comandos para recopilar información tanto del usuario como del sistema.
Además, tiene la capacidad de ejecutar código arbitrario descargado como módulos de complemento desde el servidor C&C.
Metodología forense
Es importante tener en cuenta que, a pesar de que el malware incluye secciones de código destinadas a borrar los rastros de compromiso, es posible identificar de manera confiable si un dispositivo ha sido comprometido.
Además, si se configuró un nuevo dispositivo mediante la migración de datos de usuario desde un dispositivo anterior, la copia de seguridad de iTunes de ese dispositivo contendrá los rastros de compromiso que ocurrieron en ambos dispositivos, con las marcas de tiempo correctas.
Esto proporciona una oportunidad para rastrear y analizar adecuadamente la actividad maliciosa en los dispositivos afectados.
Preparación
Para asegurar todos los posibles dispositivos de destino, se recomienda realizar una copia de seguridad utilizando iTunes o la utilidad de código abierto idevicebackup2 (del paquete libimobiledevice).
Este último está disponible como un paquete preconstruido en las distribuciones de Linux más populares, o se puede compilar a partir del código fuente para MacOS/Linux.
Para crear una copia de seguridad con idevicebackup2, se debe ejecutar el siguiente comando:
idevicebackup2 backup --full $directorio_de_copia_de_seguridadEs posible que se solicite ingresar el código de seguridad del dispositivo varias veces, y el proceso puede llevar varias horas, dependiendo de la cantidad de datos de usuario almacenados en el dispositivo.
Instalar MVT
Una vez que se ha realizado la copia de seguridad, esta debe ser procesada utilizando el kit de herramientas de verificación móvil (MVT). Si Python 3 está instalado en el sistema, se puede ejecutar el siguiente comando para instalar MVT:
pip install mvt
Para obtener instrucciones más detalladas sobre la instalación, se puede consultar el manual de instalación completo disponible en la página de inicio de MVT.
Opcional: descifrar la copia de seguridad
Si el propietario del dispositivo configuró el cifrado para la copia de seguridad previa, será necesario descifrarla antes de realizar las comprobaciones. En ese caso, se puede utilizar el comando mvt-ios decrypt-backup para descifrar la copia de seguridad.
El comando para descifrar la copia de seguridad sería el siguiente:
mvt-ios decrypt-backup -d $directorio_de_copia_descifrada $directorio_de_copia_de_seguridadReemplaza $directorio_de_copia_descifrada con el directorio en el que deseas guardar la copia de seguridad descifrada y $directorio_de_copia_de_seguridad con el directorio donde se encuentra la copia de seguridad cifrada.
Analizar la copia de seguridad usando MVT
Para ejecutar todas las comprobaciones de MVT y obtener el archivo “timeline.csv” utilizando el directorio de copia de seguridad descifrada, se puede utilizar el siguiente comando:
mvt-ios check-backup -o $directorio_de_salida_mvt $directorio_de_copia_descifrada
Reemplaza $directorio_de_salida_mvt con el directorio en el que deseas guardar los archivos de salida generados por MVT y $directorio_de_copia_descifrada con el directorio donde se encuentra la copia de seguridad descifrada.
Después de ejecutar este comando, el directorio de salida contendrá varios archivos JSON y CSV, incluyendo el archivo “timeline.csv” que necesitarás para la metodología descripta.
Consulte timeline.csv para ver los indicadores
El indicador más confiable que se ha descubierto es la presencia de líneas de uso de datos que mencionan el proceso llamado “BackupAgent”.
Este es un binario obsoleto que no debería aparecer en la línea de tiempo durante el uso regular del dispositivo. Sin embargo, es importante tener en cuenta que también existe un binario llamado “BackupAgent2”, el cual no es un indicador de compromiso.
En muchos casos, el proceso “IMTransferAgent” precede a “BackupAgent”. Este proceso descarga el archivo adjunto que resulta ser un exploit, lo cual lleva a la modificación de las marcas de tiempo en varios directorios dentro de “Library/SMS/Attachments”.
Estos eventos indican la posible presencia de un compromiso.
Es crucial tener en cuenta estos indicadores al analizar la línea de tiempo y determinar si un dispositivo ha sido comprometido.
Después de la descarga del archivo adjunto, este es eliminado, dejando solo directorios modificados sin archivos reales dentro de ellos.
A continuación se muestra un ejemplo de líneas de tiempo que reflejan esta actividad:
2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 127) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 76281896.0, WWAN OUT: 100956502.0
2022-09-13 10:04:54.000000Z Manifest Library/SMS/Attachments/65/05 - MediaDomain
2022-09-13 10:05:14.744570Z Datausage BackupAgent (Bundle ID: , ID: 710) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 734459.0, WWAN OUT: 287912.0
Estas líneas de tiempo indican la actividad del proceso “IMTransferAgent” durante la descarga del archivo adjunto y la modificación de los directorios correspondientes.
El proceso “BackupAgent” también muestra actividad relacionada en términos de uso de datos. Estos eventos pueden ser señales importantes para identificar un posible compromiso en el dispositivo.
Además de los indicadores más confiables, existen indicadores menos confiables que pueden considerarse como Indicadores de Compromiso (IOC) si ocurren varios de ellos en un corto período de tiempo, como minutos. Estos indicadores incluyen:
Modificación de uno o varios archivos, como:
-
- com.apple.ImageIO.plist
- com.apple.locationd.StatusBarIconManager.plist
- com.apple.imservice.ids.FaceTime.plist
Información de uso de datos de los servicios:
-
- com.apple.WebKit.WebContent
- powerd/com.apple.datausage.diagnostics
- lockdownd/com.apple.datausage.security
Si se detecta la presencia de varios de estos indicadores en un corto período de tiempo, puede ser una señal adicional de compromiso en el dispositivo.
Sin embargo, es importante tener en cuenta que estos indicadores son menos confiables que los mencionados anteriormente y se debe realizar un análisis más exhaustivo para confirmar el compromiso.
Según las líneas de tiempo analizadas, se pueden observar los siguientes eventos:
2021-10-30 16:35:24.923368Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 31933.0, WWAN OUT: 104150.0
2021-10-30 16:35:24.928030Z Datausage IMTransferAgent/com.apple.MobileSMS (Bundle ID: com.apple.MobileSMS, ID: 945)
2021-10-30 16:35:24.935920Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 47743.0, WWAN OUT: 6502.0
2021-10-30 16:35:24.937976Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 946)
2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.locationd.StatusBarIconManager.plist - HomeDomain
2021-10-30 16:36:51.000000Z Manifest Library/Preferences/com.apple.ImageIO.plist - RootDomain
Estos eventos muestran que ha habido actividad en relación con el proceso IMTransferAgent y los servicios MobileSMS y datausage.messages. Además, se han modificado los archivos com.apple.locationd.StatusBarIconManager.plist y com.apple.ImageIO.plist.
Teniendo en cuenta la ocurrencia simultánea de estos eventos, podrían considerarse como indicios de compromiso en el dispositivo. Sin embargo, es importante realizar un análisis más detallado y considerar otros factores para confirmar cualquier sospecha de compromiso.
Basado en los eventos analizados, se puede observar lo siguiente:
<timestamp> Modificación de un directorio de archivos adjuntos de SMS (sin nombre de archivo adjunto)
<timestamp> Uso de datos de com.apple.WebKit.WebContent
<timestamp> Modificación de com.apple.locationd.StatusBarIconManager.plist
Estos eventos muestran una secuencia de actividad sospechosa en el dispositivo.
La modificación del directorio de archivos adjuntos de SMS, seguido del uso de datos de com.apple.WebKit.WebContent y, finalmente, la modificación de com.apple.locationd.StatusBarIconManager.plist, dentro de un período de tiempo de 1 a 3 minutos, sugiere un posible compromiso exitoso a través de un archivo adjunto de iMessage.
Estos indicios respaldan la hipótesis de que ha ocurrido una explotación exitosa y que hay actividad maliciosa en el dispositivo. Es recomendable realizar un análisis forense más exhaustivo y tomar medidas de respuesta ante el incidente de seguridad.
Observemos la siguiente secuencia de actividad sospechosa:
2022-09-11 19:52:56.000000Z Modificación de Library/SMS/Attachments/98 - MediaDomain
2022-09-11 19:52:56.000000Z Modificación de Library/SMS/Attachments/98/08 - MediaDomain
2022-09-11 19:53:10.000000Z Modificación de Library/SMS/Attachments/98/08 - MediaDomain
2022-09-11 19:54:51.698609Z Uso de datos de com.apple.WebKit.WebContent
2022-09-11 19:54:51.702269Z Uso de datos de com.apple.WebKit.WebContent
2022-09-11 19:54:53.000000Z Modificación de Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
2022-06-26 18:21:36.000000Z Modificación de Library/SMS/Attachments/ad/13 - MediaDomain
2022-06-26 18:21:36.000000Z Modificación de Library/SMS/Attachments/ad - MediaDomain
2022-06-26 18:21:50.000000Z Modificación de Library/SMS/Attachments/ad/13 - MediaDomain
2022-06-26 18:22:03.412817Z Uso de datos de com.apple.WebKit.WebContent
2022-06-26 18:22:16.000000Z Modificación de Library/Preferences/com.apple.ImageIO.plist
2022-06-26 18:22:16.000000Z Modificación de Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
2022-03-21 21:37:55.000000Z Modificación de Library/SMS/Attachments/fc - MediaDomain
2022-03-21 21:37:55.000000Z Modificación de Library/SMS/Attachments/fc/12 - MediaDomain
2022-03-21 21:38:08.000000Z Modificación de Library/SMS/Attachments/fc/12 - MediaDomain
2022-03-21 21:38:23.901243Z Uso de datos de com.apple.WebKit.WebContent
2022-03-21 21:38:24.000000Z Modificación de Library/Preferences/com.apple.locationd.StatusBarIconManager.plist
Estos eventos indican la modificación de directorios de archivos adjuntos de SMS, uso de datos de com.apple.WebKit.WebContent y modificaciones de archivos de preferencias.
La secuencia de actividad ocurre dentro de un período de tiempo de minutos, lo cual es indicativo de un posible compromiso exitoso a través de un archivo adjunto de iMessage, seguido de actividad maliciosa relacionada.
Es importante investigar más a fondo estos eventos y tomar medidas adecuadas para responder al incidente de seguridad.
La imposibilidad de instalar actualizaciones de iOS puede ser otro indicador de compromiso si se detecta junto con otros eventos sospechosos.
En este caso, la modificación del archivo de configuración com.apple.softwareupdateservicesd.plist y los errores al intentar descargar iOS son señales de que se ha interferido con el proceso de actualización del sistema.
Es importante investigar más a fondo este comportamiento anómalo y tomar medidas inmediatas para abordar el compromiso de seguridad.
Se recomienda buscar asistencia técnica especializada o ponerse en contacto con el soporte de Apple para obtener orientación específica sobre cómo manejar esta situación.
Actividad de la red durante la explotación
Identificar la secuencia de eventos de conexión HTTPS en el nivel de red puede ser una forma efectiva de detectar un intento de explotación exitoso. Al monitorear y analizar los datos de flujo de red, enriquecidos con información de host DNS/TLS o volcados de PCAP, es posible identificar patrones sospechosos que indican una actividad maliciosa.
Los siguientes eventos de conexión pueden ser indicadores de compromiso:
- Interacción de red legítima con el servicio de iMessage utilizando nombres de dominio como *.ess.apple.com. Esta es una comunicación regular con el servicio de iMessage y no es necesariamente indicativa de un compromiso.
- Descarga del archivo adjunto de iMessage utilizando nombres de dominio como .icloud-content.com o content.icloud.com. Este evento indica la descarga del archivo adjunto del mensaje y puede considerarse como parte de la actividad regular de iMessage.
- Múltiples conexiones a dominios de C&C (Comando y Control). La presencia de múltiples conexiones a dominios de C&C, especialmente a dos dominios diferentes, puede ser un indicio de una actividad maliciosa. Los dominios de C&C son utilizados por los atacantes para controlar y comunicarse con los dispositivos comprometidos. El tráfico saliente significativo hacia estos dominios puede ser una señal de una posible explotación exitosa.
Es importante destacar que estos eventos de conexión en la red deben ser analizados en conjunto con otros indicadores de compromiso y eventos sospechosos mencionados anteriormente para obtener una imagen más completa de la situación.
El análisis de los datos de flujo de red y la colaboración con expertos en seguridad pueden ayudar a detectar y mitigar el impacto de un ataque.
Si el archivo adjunto de iMessage está encriptado y se descarga a través de HTTPS, puede ser difícil obtener información específica sobre el contenido del archivo adjunto.
Sin embargo, si observas una transferencia de datos a través de HTTPS con un tamaño constante de aproximadamente 242 Kb en varias conexiones, podría indicar un patrón sospechoso que merece una mayor investigación.
Si la cantidad de datos descargados se mantiene constante y ocurre en múltiples conexiones, esto podría sugerir un comportamiento anómalo.
Aunque no proporciona información sobre el contenido específico del archivo adjunto, este patrón puede ser un indicador implícito de actividad maliciosa, especialmente si se combina con otros eventos sospechosos mencionados anteriormente, como modificaciones de archivos, uso de datos inusual o errores en la actualización del software.
Es importante tener en cuenta que estos indicios implícitos pueden variar según el contexto y la configuración específica del sistema. Por lo tanto, es recomendable realizar un análisis exhaustivo y contar con el apoyo de expertos en seguridad para evaluar adecuadamente la situación y tomar las medidas adecuadas para proteger el dispositivo o la red.
Dominios C&C
Utilizando los artefactos forenses, fue posible identificar el conjunto de nombres de dominio utilizados por los exploits y otras etapas maliciosas.
Se pueden usar para verificar los registros de DNS en busca de información histórica y para identificar los dispositivos que actualmente ejecutan el malware:
addatamarket[.]net
backuprabbit[.]com
businessvideonews[.]com
cloudsponcer[.]com
datamarketplace[.]net
mobilegamerstats[ .]com
snoweeanalytics[.]com
tagclick-cdn[.]com
topographyupdates[.]com
unlimitedteacup[.]com
virtuallaughing[.]com
web-trackers[.]com
growthtransport[.]com
anstv[.]net
ans7tv[. ]neto
Esos nombres de dominio pueden ser utilizados como indicadores para verificar los registros de DNS en busca de información histórica y para identificar los dispositivos que actualmente ejecutan el malware.
Al revisar los registros de DNS, es posible rastrear la actividad pasada de esos dominios y determinar si han estado relacionados con actividades maliciosas.
También puedes utilizar estos nombres de dominio como una lista de bloqueo en tu red o en sistemas de seguridad para evitar la comunicación con los servidores maliciosos.
Al bloquear el acceso a esos dominios, se reduce la posibilidad de que los dispositivos infectados se comuniquen con el servidor de comando y control (C&C) y se impide que se realicen actividades adicionales de compromiso.
Recuerda que la lista de nombres de dominio proporcionada puede cambiar con el tiempo, ya que los atacantes pueden modificar su infraestructura para evadir la detección.
Por lo tanto, es recomendable mantenerse actualizado sobre las últimas amenazas y utilizar soluciones de seguridad confiables para proteger los dispositivos y la red.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Netskope Intelligent SSE + Amazon Security: Amenazas en entornos híbridos 2023
Dark Pink vuelve con fuerza: 5 nuevas organizaciones en 3 países
Check Point Harmony detecta ataques BEC 3.0
Ciberseguridad en alerta 2023: Revelación impactante de TI
MCNA Insurance Company: se filtraron 9 millones de datos
Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación,
Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación, Operación Triangulación,