卡巴斯基实验室（Kaspersky）最近新发现一种针对iOS设备的恶意软件活动，称之为“Operation Triangulation”，能够在没有任何用户交互的情况下，触发系统内漏洞，从而执行任意恶意代码。

事件起初，卡巴斯基在监控公司专用于移动设备的Wi-Fi网络流量时，注意到多个iOS手机存在可疑活动。由于无法从内部检查最新iOS设备，卡巴斯基通过创建相关设备的离线备份，使用移动验证工具包的mvt-ios对其进行检查，最终发现了受到攻击的痕迹。

据卡巴斯基官网研究报告，目前已知该恶意软件活动会通过iMessage服务向目标iOS设备发送带有漏洞利用程序的附件，能够在没有任何用户交互的情况下，触发导致代码执行的漏洞。漏洞利用程序接着会从C&C服务器下载多个后续阶段，包括用于提权的其他漏洞利用程序。成功利用后，再从C&C服务器下载最终有效负载。最后，攻击者还会删除初始消息和附件中的漏洞利用程序。

可能是由于操作系统的限制，该恶意工具集不支持持久性，多个设备的时间线表明，它们可能会在重启后再次感染设备。卡巴斯基发现最早的感染迹象出现在2019年，截至2023年6月，攻击仍在进行中，并且一直到iOS 15.7版本的设备都是成功的攻击目标。对最终有效负载的分析尚未完成，但已知其以root权限运行，实现了一组用于收集系统和用户信息的命令，并可以运行作为插件模块从C&C服务器下载的任意代码。

俄罗斯联邦安全局（FSB）声称，其已发现数千部苹果iPhone被恶意软件感染，其中不仅有俄罗斯政府官员的设备，以色列、中国以及部分北约成员国和前苏联国家的驻俄罗斯大使馆工作人员也未能例外。俄罗斯联邦安全局指责美国苹果公司与美国国家安全局（NSA）存在密切合作，故意向其提供后门，以便开展情报监控活动。但俄罗斯联邦安全局没有提供苹果公司与美国政府间谍活动合作或对间谍活动知情的任何证据。

https://safe-surf.ru/upload/ALRT/ALRT-20230601.1.pdf

美国国家安全局拒绝对此置评，苹果公司发言人则表示：“我们从未与任何政府合作、在任何苹果产品中植入后门，也永远不会。”

编辑：左右里

资讯来源：Kaspersky、FSB

转载请注明出处和本文链接