Campagna ”Operation Triangulation” che sfruttano vulnerabilità 0-day di tipo 0-click su dispositivi mobili Apple

PROTO: N040623 

CERT Yoroi informa che a partire da inizio giugno è emersa la notizia di uno sfruttamento zero-click da parte di una campagna malware chiamata “Triangular” di due vulnerabilità su varie tecnologie Apple con ID CVE-2023-32439 e CVE-2023-32435 

Nello specifico, nella giornata del 21 Giugno 2023, il vendor pubblica un bollettino di sicurezza  in cui include due vulnerabilità sfruttate all'interno dell'operazione "Triangular", campagna spyware che mira a dispositivi Apple. 

La campagna, altamente sofisticata e mirata a bersagli bene precisi, si struttura in questo modo: 

• L'utente riceve tramite “Imessage”, un messaggio creato in modo apposito con un allegato contenente l'exploit 0-Click, ossia senza interazione dell'utente; il messaggio è capace di eseguire codice malevolo arbitrario 

• Il codice all'interno dell’allegato viene eseguito, il quale esegue comandi dalla C2, tra cui si rilevano exploit per Privilege Escalation 
• Alla fine della compromissione, viene scaricato l'ultimo payload, “APT Platform” 
• Il messaggio ed il suo allegato infine vengono entrambi eliminati in modo da coprire le tracce e lasciare il dispositivo infetto in maniera “stealth”. 

Inoltre, dopo le operazioni di Escalation, il codice viene eseguito con privilegi di root ed implementa dei comandi per collezionare informazioni relative sia al sistema che all'utente vittima, oltre a poter eseguire codice arbitrario e scaricare payload dal C&C server. 

Questo malware utilizza le due CVE, CVE-2023-32434 e CVE-2023-32439, che nello specifico, come riportato da Apple  

• CVE-2023-32434: 

• Una app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel. 

• CVE-2023-32439: 

• L'elaborazione di contenuti Web pericolosi può causare l'esecuzione di codice arbitrario.  

Apple ha rilasciato la lista di prodotti e relativi Software vulnerabili: 

• Tutte le versioni di iOS inferiori alla 15.7 
  • iPhone 8 generazione e successivi, iPad Pro tutti i modelli, iPad Air 3rd generazione e successivi, iPad 5th generazione e successivi, iPad mini 5th generazione e successivi 
  • iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1st generazione), iPad Air 2, iPad mini (4th generazione), and iPod touch (7th generazione) 
  • macOS Big Sur, Monterey, Ventura 
  • Apple Watch Series 4 e successivi, Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7, and SE 

In appendice al presente bollettino CERT-Yoroi condivide gli indicatori per tale campagna.  

Attualmente il Vendor nel bollettino di sicurezza ufficiale sottolinea come non ci siano workaround per mitigare la vulnerabilità; pertanto, ha rilasciato l'update dei vari OS per riuscire a risolvere questi bug. Inoltre, Kaspersky ha rilasciato un tool gratuito che permette di effettuare il rilevamento di tale minaccia all'interno del proprio dispositivo mobile Apple. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire il patching alle versioni suggerite dal Vendor 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index   

RIFERIMENTI ESTERNI

• https://usa.kaspersky.com/about/press-releases/2023_operation-triangulation-kaspersky-releases-utility-for-malware-detection 
• https://securelist.com/operation-triangulation/109842/ 
• https://support.apple.com/it-it/HT213814  
• https://www.securityweek.com/kaspersky-dissects-spyware-used-in-ios-zero-click-attacks/ 
• https://9to5mac.com/2023/06/21/apple-patches-two-actively-exploited-security-flaws/  
• https://securelist.com/find-the-triangulation-utility/109867/  

IoCs

• addatamarket[.]net 
• backuprabbit[.]com 
• businessvideonews[.]com 
• cloudsponcer[.]com 
• datamarketplace[.]net 
• mobilegamerstats[.]com 
• snoweeanalytics[.]com 
• tagclick-cdn[.]com 
• topographyupdates[.]com 
• unlimitedteacup[.]com 
• virtuallaughing[.]com 
• web-trackers[.]com 
• growthtransport[.]com 
• anstv[.]net 
• ans7tv[.]net 
• 063db86f015fe99fdd821b251f14446d 
• 1a321b77be6a523ddde4661a5725043aba0f037f 
• fd9e97cfb55f9cfb5d3e1388f712edd952d902f23a583826ebe55e9e322f730f