El exploit del kernel para dos vulnerabilidades de seguridad utilizadas en el kit de exploits Apple iOS recientemente descubierto conocido como La Coruña es una versión actualizada del mismo exploit que se utilizó en la campaña Operación Triangulación en 2023, según nuevos hallazgos de Kaspersky.

«Cuando se informó por primera vez sobre Coruña, la evidencia pública no era suficiente para vincular su código con la triangulación; las vulnerabilidades compartidas por sí solas no prueban la autoría compartida», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un comunicado.

«Coruña no es un mosaico de exploits públicos; es una evolución mantenida continuamente del marco original de Operación Triangulación. La inclusión de comprobaciones para procesadores recientes como el M3 y versiones más recientes de iOS muestra que los desarrolladores originales han expandido activamente esta base de código. Lo que comenzó como una herramienta de espionaje de precisión ahora se implementa indiscriminadamente».

Coruña fue documentado por primera vez por Google e iVerify a principios de este mes apuntando a modelos de iPhone de Apple que ejecutan versiones de iOS entre 13.0 y 17.2.1.

Aunque el uso del kit fue utilizado por primera vez por un cliente de una empresa de vigilancia anónima a principios del año pasado, desde entonces ha sido aprovechado por un presunto actor-estado-nación alineado con Rusia en ataques a pozos de agua en Ucrania y en una campaña de explotación masiva que empleó un grupo de sitios web chinos falsos de apuestas y criptomonedas para entregar un malware de robo de datos conocido como PlasmaLoader (también conocido como PLASMAGRID).

El kit de exploits contiene cinco cadenas completas de exploits para iOS y un total de 23 exploits, incluidos CVE-2023-32434 y CVE-2023-38606, los cuales fueron Se utilizó por primera vez como día cero en la Operación Triangulación, una sofisticada campaña dirigida a dispositivos iOS que implicó la explotación de cuatro vulnerabilidades en el sistema operativo móvil de Apple.

Los últimos hallazgos de Kaspersky indicaron que los exploits del kernel tanto en Triangulation como en Coruna fueron creados por el mismo autor, y Coruna también utilizó cuatro exploits del kernel adicionales. El proveedor de seguridad ruso dijo que todos estos exploits se basan en el mismo marco de explotación del kernel y comparten un código común.

Específicamente, el código incluye soporte para los procesadores A17, M3, M3 Pro y M3 Max de Apple, junto con comprobaciones de iOS 17.2 y iOS versión 16.5 beta 4, la última de las cuales parchó las cuatro vulnerabilidades explotadas como parte de la Operación Triangulación. La verificación para iOS 17.2, por otro lado, está destinada a tener en cuenta los exploits más nuevos, dijo Kaspersky.

El punto de partida del ataque es cuando un usuario visita un sitio web comprometido en Safari, lo que hace que un stager tome las huellas digitales del navegador y realice el exploit apropiado según el navegador y la versión del sistema operativo. Esto, a su vez, allana el camino para la ejecución de una carga útil que activa el exploit del kernel.

«Después de descargar los componentes necesarios, la carga útil comienza a ejecutar exploits del kernel, cargadores Mach-O y el lanzador de malware», dijo Kaspersky. «La carga útil selecciona un cargador Mach-O apropiado según la versión del firmware, la CPU y la presencia del permiso de servicio abierto iokit».

El lanzador es el principal orquestador responsable de iniciar las actividades posteriores a la explotación, aprovechando el exploit del kernel para colocar y ejecutar el implante final. También limpia los artefactos de explotación para encubrir el rastro forense.

«Originalmente desarrollado con fines de ciberespionaje, este marco ahora está siendo utilizado por ciberdelincuentes de un tipo más amplio, poniendo en riesgo a millones de usuarios con dispositivos sin parches», dijo Larin. «Dado su diseño modular y su facilidad de reutilización, esperamos que otros actores de amenazas comiencen a incorporarlo en sus ataques».

El desarrollo se produce cuando se filtró en GitHub una nueva versión del kit de explotación de iPhone DarkSword. planteando preocupaciones que podría equipar a más actores de amenazas con capacidades avanzadas para comprometer dispositivos, convirtiendo efectivamente lo que alguna vez fue una herramienta de piratería de élite en un marco de explotación masiva. El lanzamiento de la nueva versión fue el primero. reportado por TechCrunch.

Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con alto valor de inteligencia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI). dicho Viernes.

«La campaña está dirigida a personas de alto valor en inteligencia, incluidos funcionarios actuales y anteriores del gobierno estadounidense, personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel. dicho en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en acceso no autorizado a miles de cuentas individuales. Después de obtener acceso, los actores pueden ver mensajes y listas de contactos, enviar mensajes como víctima y realizar phishing adicional desde una identidad confiable».

CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.

Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).

En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.

«Estos ataques, cuando tienen éxito, pueden permitir que actores maliciosos accedan a historiales de conversaciones o incluso tomen el control de las cuentas de mensajería de sus víctimas y envíen mensajes haciéndose pasar por ellas», C4 dicho.

El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.

Como alertaron recientemente las agencias de ciberseguridad de Alemania y Países Bajos, el ataque implica el adversario se hace pasar por «Soporte de señales» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, el esquema de ingeniería social permite a los actores de amenazas obtener acceso a la cuenta CMA de la víctima.

Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:

• Si la víctima opta por proporcionar el PIN o el código de verificación al actor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el actor de la amenaza no puede acceder a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y enviar mensajes a otros haciéndose pasar por la víctima.
• Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole acceder a todos los mensajes, incluidos los enviados en el pasado. En este escenario, la víctima sigue teniendo acceso a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.

Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartir su Código SMS o PIN de verificación con cualquier personatenga cuidado al recibir mensajes inesperados de contactos desconocidos, verifique los enlaces antes de hacer clic en ellos y revise periódicamente los dispositivos vinculados y elimine aquellos que parezcan sospechosos.

«Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», Signal dicho en una publicación en X a principios de este mes.

«Para ayudar a prevenir esto, recuerde que su código de verificación por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* iniciará contacto a través de mensajes dentro de la aplicación, SMS o redes sociales para solicitar su código de verificación o PIN. Si alguien solicita algún código relacionado con Signal, es una estafa».