Apple

サイバーセキュリティ企業カスペルスキーは、AppleのiPhoneやその他のiOSデバイスが新たな「Triangulation」マルウェアに感染しているかどうかを検出するツールをリリースした。

このマルウェアはカスペルスキーによって自社のネットワーク上で発見され、少なくとも 2019 年以降、世界中の同社の敷地内で複数の iOS デバイスに感染していると報告しています。

マルウェア分析はまだ進行中ですが、サイバーセキュリティ会社は、「Operation Triangulation」マルウェア キャンペーンが iMessage 上の未知のゼロデイ エクスプロイトを使用して、ユーザーの操作や権限の昇格なしでコードを実行していることを指摘しました。

これにより、攻撃はさらにペイロードをデバイスにダウンロードして、さらにコマンドを実行し、情報を収集することが可能になります。

ロシアの情報安全保障局であるFSBが、 このマルウェアを政府高官や外交官の感染と関連付けたことにも注目すべきである。

オリジナルのレポートで、Kaspersky は、Mobile Verification Toolkit (MVT) を使用して、この未知のマルウェアによる侵害の可能性を示す iOS デバイスのバックアップを手動でチェックする方法について、かなりの詳細を提供しました。

しかし、このセキュリティ会社は、Windows と Linux の両方に対応した、より使いやすく自動化された三角測量スキャナをリリースしました。

Triangle iOS スキャナー

Apple のさまざまなセキュリティ メカニズム (サンドボックス、データ暗号化、コード署名) がライブ システム分析を妨げているため、iOS はバックアップとしてのみ分析できます。

したがって、ユーザーはまず、オペレーティング システムに応じて次の手順に従って iOS デバイスをバックアップする必要があります。

ウィンドウズ:

  1. iTunes がインストールされているコンピュータにデバイスを接続します。デバイスのロックを解除し、必要に応じてコンピュータを信頼していることを確認します。
  2. これで、デバイスが iTunes に表示されるはずです。それを右クリックして「バックアップ」を押します。
  3. 作成されたバックアップは、%appdata%Apple ComputerMobileSyncBackup ディレクトリに保存されます。
iTunes 経由で iOS バックアップを作成する
iTunes 経由で iOS バックアップを作成する(カスペルスキー)

マックOS:

  1. デバイスをコンピュータに接続し、必要に応じて、コンピュータを信頼していることを確認します。
  2. これで、デバイスが Finder に表示されるはずです。それを選択し、「バックアップの作成」をクリックします。
  3. 作成されたバックアップは、~/Library/Application Support/MobileSync/Backup/ ディレクトリに保存されます。

Linux:

  1. libimobiledevice 」ライブラリをインストールします。
  2. デバイスをコンピュータに接続し、「idevicebackup2 Backup –full」コマンドを使用してバックアップを作成できます。
  3. バックアップ プロセス中に、要求に応じてデバイスのパスコードを入力します。

次のステップは、カスペルスキーの「triangle_check」スキャナーを使用して iOS バックアップを分析することです。

Kaspersky は、このスキャナを Windows および Linux 用のバイナリ ビルドとしてリリースし、クロスプラットフォームの Python パッケージとして PyPI を通じて利用できるようにしました

Python パッケージ:

  1. 次のコマンドを使用して、PyPI から「triangle_check」を取得します: python -m pip install Triangle_check
  2. あるいは、以下を実行して GitHub からツールを構築することもできます。
  3. git clone https://github.com/KasperskyLab/triangle_check
  4. cd 三角チェック
  5. Python -m ビルド
  6. python -m pip install dist/triangle_check-1.0-py3-none-any.whl

その後、次のコマンドを使用してツールを起動します: python -m Triangle_check 作成されたバックアップへのパス。

Windows バイナリ:

Windows バイナリは、Kaspersky のパブリック GitHub リポジトリから入手できます。これを使用するには、次の手順に従ってください。

  1. GitHub リリース ページから Triangle_check_win.zip アーカイブをダウンロードし、解凍します。
  2. コマンド プロンプト (cmd.exe) または PowerShell を起動します。
  3. ディレクトリを、解凍されたアーカイブのあるディレクトリに変更します (例: cd %userprofile%Downloadstriangle_check_win)。
  4. バックアップへのパスを引数として指定して、triangle_check.exe を起動します (たとえば、triangle_check.exe “%appdata%Apple ComputerMobileSyncBackup
    1. Download the triangle_check_win.zip archive from the GitHub releases page and unpack it.
    2. Launch the command prompt (cmd.exe) or PowerShell.
    3. Change your directory to the one with the unpacked archive (e.g., cd %userprofile%Downloadstriangle_check_win).
    4. Launch triangle_check.exe, specifying the path to the backup as an argument (e.g., triangle_check.exe “%appdata%Apple ComputerMobileSyncBackup0008101-000824411441001E-20230530-143718”).

    008101-000824411441001E-20230530-143718″)。

Linux バイナリ:

Linux バイナリは、Kaspersky のパブリック GitHub リポジトリから入手できます。これを使用するには、次の手順に従ってください。

  1. GitHub リリース ページから Triangle_check_win.zip アーカイブをダウンロードし、解凍します。
  2. ターミナルを起動します。
  3. ディレクトリを、解凍されたアーカイブのあるディレクトリに変更します (例: cd ~/Downloads/triangle_check_linux)。
  4. 「chmod +x Triangle_check」コマンドでユーティリティを実行できるようにします。
  5. バックアップへのパスを引数として指定してユーティリティを起動します (例: ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718)。

起動して iOS バックアップ パスを指定すると、triangle_check ツールは次のいずれかのスキャン結果を出力します。

  • 検出されました: これは、「Operation Triangulation」マルウェアがデバイスに疑いの余地なく感染したことを意味します。
  • 疑惑: スキャナーは感染の可能性を示す侵害の痕跡をいくつか発見しましたが、決定的な結果を裏付ける十分な証拠はありません。
  • 侵害の痕跡は特定されませんでした: スキャナーは、特定のマルウェア ファミリの侵害の兆候を検出しませんでした。

上記の結果、特に否定的な結果は、完全に信頼できない場合や、デバイスがクリーンであるという最終的な保証として扱われない場合があることに注意してください。

このマルウェアの分析は進行中であるため、今後、追加の侵害の痕跡や、より最近の iOS リリースに感染する新しい亜種が発見される可能性があります。

標的を絞ったマルウェア キャンペーン

通常、「Operation Triangulation」のようなスパイ活動を目的としたマルウェア配布キャンペーンは、広範囲の人々ではなく特定の個人や企業をターゲットにしているため、チェッカーを使用しているほとんどの人はクリーンな結果を得るはずです。

しかし、カスペルスキーのツールは、重要な組織で重要な役割を担っている人、国家支援によるスパイ活動のリスクが高い個人、情報ハブとして機能する企業やサービスで働いている人にとっては便利かもしれない。

現在、マルウェアの正確な起源と三角測量作戦の指揮者は不明のままです。したがって、標的の範囲と被害者はまだ決定されていません。