Лаборатория Касперского продолжает расчехлять вредоносную кампанию Операция Триангуляция, представляя все новые подробности о проделках Apple и их друзей из Ленгли (или из форта Мид, кто их там знает).

Для этого исследователи даже сделали целую отдельную страницу, посвященную Триангуляции, которая буквально в унисон с обновлениями от Apple пополнилась свеженьким обзором шпионского импланта TriangleDB.

Схема многоступенчатой загрузки вредоноса включала скрытые сообщения iMessage, 0-click и полноценный боевой эксплойт-кит.

После получения root-прав на целевом устройстве в результате успешной эксплуатации уязвимости в ядре iOS, TriangleDB развертывается в памяти, а исходное сообщение iMessage удаляется.

Имплантат не имеет механизма персистентности, и если в случае перезагрузки вся цепочка заражения повторяется заново. По истечении 30 дней имплантат самоликвидируется, если срок его работы не продлевается.

Написанный на Objective-C, имплантат TriangleDB взаимодействует со своим С2 с помощью библиотеки Protobuf для обмена данными. Конфигурация импланта содержит два сервера: основной и резервный.

Сообщения шифруются с использованием симметричной (3DES) и асимметричной (RSA) криптографии и передаются по протоколу HTTPS в запросах POST.

TriangleDB периодически отправляет heartbeat-сообщения на C2-сервер с указанием версии зловреда, идентификаторов устройства и статуса службы обновлений, который отвечает командами, переданными в виде сообщений Protobuf с неясными именами типов.

Ресерчеры ЛК обнаружили 24 команды, которые позволяют взаимодействовать с файлами и процессами, извлекать данные из связки ключей, отслеживать геолокацию и запускать дополнительные модули в виде исполняемых файлов Mach-O.

Шпионское ПО отслеживает изменения папок на устройстве, все новые или модифицированые файлы ставит в очередь на эксфильтрацию.

Изучая ряд артефактов исследователи также пришли к выводу, что схожий имплант используется в атаках на macOS, а запрашиваемый набор прав у ОС в полной мере не реализуется в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth, что указывает на существование дополнительных модулей.

Индикаторы компрометации TriangleDB, iOS-импланта с примечательными деталями, представлены в отчете, а специалисты обещают продолжение.

Депутат ГД Горелкин предложил подумать о формировании в Росгвардии подразделения кибервойск.

"Поскольку Росгвардия это, прежде всего, силовое ведомство, стоит подумать и над формированием в её структуре полноценного подразделения кибервойск – с учетом растущих здесь цифровых компетенций. В условиях информационного противоборства это необходимость", - написал он в своем телеграм-канале.

https://ria.ru/20230626/bezopasnost-1880507095.html

Сеть АЗС Petro-Canada по всей Канаде подверглась кибератаке, в результате которой на протяжении нескольких дней клиенты не могли оплатить топливо банковской картой и войти в свои аккаунт на веб-сайте и в приложении.

В воскресенье через два дня после начала сбоя головная компания Suncor Energy опубликовала заявление, в котором сообщила, что столкнулась с инцидентом кибербезопасности и принимает необходимые меры.

По состоянию на начало недели в Торонто терминалы оплаты были не работоспособны и принималась только наличка.

Масштаб проблемы до конца не понятен, но для справки Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.

Об инциденте проинформированы соответствующие органы и к расследованию привлечены эксперты, однако на данный момент неизвестно о каких-либо фактах, что данные клиентов, поставщиков или сотрудников были скомпрометированы и использованы третьими лицами в злонамеренных целях.

Также в компания не предоставили никаких сведений об инциденте и на данный момент остается гадать, была ли это целенаправленная атака банд-вымогателей, умысел конкурентов или банальная безалаберность своих сотрудников.