iOS 제로데이 공격 삼각측량 작전(Operation Triangulation)

오늘은 애플에서 사용하는 Apple iOS 장치를 표적으로 삼는 iOS 에서 취약점을 악용한 공격인 삼각측량 작전 (Operation Triangulation)에 대해 알아보겠습니다.
해당 삼각측량 작전 (Operation Triangulation) 공격은 해당 공격은 정교한 공격은 2023년 6월에 처음으로 알려졌으며 OS 기기가 제로클릭 익스플로잇 (CVE-2023-32434 및 CVE-2023-32435)을 무기화하는 제로데이 보안 결함 iMessage를 활용하는 의 표적이 되었습니다.
해당 취약점을 악용할 때 장치와 사용자 데이터를 완벽하게 제어할 수 있는 악성 첨부 파일 전달할 수가 있는 문제입니다.
공격자가 임의 코드를 실행하는 데 악용될 수 있는 커널 취약점인 CVE-2023-32434를 악용하여 대상 iOS 장치에 대한 루트 권한을 획득하고 배포되는 TriangleDB라는 백도어로 구성
대상 장치가 연구 환경과 연결되어 있지 않은지 확인하기 위해 실행되는 JavaScript 유효성 검사기 및 바이너리 유효성 검사기라는 두 가지 유효성 검사기 단계로 진행되며 해당 유효성 검사기는 피해자 장치에 대한 다양한 정보를 수집하여 C2 서버로 보내는 역할을 합니다.
그런 다음, 이 정보는 TriangleDB가 이식될 iPhone(아이폰)이나 iPad(아이패드)가 연구용 장치일 수 있는지 평가하는 데 사용됩니다.

이러한 검사를 통해서 공격자는 제로데이 익스플로잇과 임플란트가 소실되지 않도록 할 수 있습니다.

iPhone15(아이폰) 15

암호화 라이브러리의 난독화된 JavaScript 코드입니다.
페이로드는 다양한 산술 연산을 수행하고 Media Source API 및 WebAssembly가 있는지 확인하는 것 외에도 캔버스 핑거프린팅 이라는 브라우저 핑거프린팅 기술을 수행하는 JavaScript 유효성 검사기입니다.
WebGL로 분홍색 배경에 노란색 삼각형을 그리고 체크섬을 계산하는 단계를 거치며 단계를 거쳐 수집된 정보는 알려지지 않은 다음 단계의 악성코드를 수신하기 위해 원격 서버로 전송
일련의 결정되지 않은 단계 후에는 아래 작업을 수행하는 Mach-O 바이너리 파일인 바이너리 유효성 검사기가 제공
/private/var/mobile/Library/Logs/CrashReporter 디렉터리에서 충돌 로그를 제거하여 가능한 악용 흔적을 지움
공격자가 제어하는 36개의 서로 다른 Gmail, Outlook 및 Yahoo 이메일 주소에서 전송된 악성 iMessage 첨부 파일의 증거를 삭제
장치 및 네트워크 인터페이스에서 실행 중인 프로세스 목록을 가져오기
대상 장치가 탈옥 되었는지 확인
개인화된 광고 추적 켜기
장치에 대한 정보(사용자 이름, 전화번호, IMEI, Apple ID)를 수집
설치된 앱 목록 검색
해당 방법은 iOS와 macOS 시스템 모두에 대해 이를 구현 가능한백도어가 취하는 첫 번째 단계 중 하나는 C2 서버와의 통신을 설정하고 하트비트를 보낸 다음 포렌식 추적을 은폐하고 분석을 방해하기 위해 충돌 로그 및 데이터베이스 파일을 삭제하는 명령을 수신
또한, 위치, iCloud 키체인, SQL 관련 및 마이크 녹음 데이터가 포함된 /private/var/tmp 디렉터리에서 파일을 주기적으로 추출하라는 지침이 임플란트에 발행
마이크 녹음 모듈의 주목할만한 기능은 장치 화면이 켜져 있을 때 녹음을 일시 중단하여 위협 행위자가 레이더 아래로 비행하려는 의도를 나타내는 기능
위치 모니터링 모듈은 모바일 국가 코드(MCC),모바일 네트워크 코드(MNC), 위치 지역 코드(LAC GPS 데이터를 사용할 수 없을 때 피해자의 위치를 삼각측량을 하려고 같은 GSM 데이터를 사용하도록 조정
즉 보안 업데이트 업로드 되며 귀찮더라도 시간을 내어서라도 보안 업데이트 를 하시시는 것을 추천합니다.

사진: Unsplash의Thai Nguyen