圖片來源: 

Denis Cherkashinon unsplash

安全廠商卡巴斯基本周揭露有人以一個全新、不知名的惡意程式攻擊iPhone用戶,並企圖蒐集用戶行為資訊,受害者包含卡巴斯基員工。

該公司是在檢查公司內部無線網路時,發現員工iPhone有異常活動,隨後利用國際特赦組織開發的Mobile Verification Toolkit(MVT)發現特定入侵指標。該公司並將這起攻擊行動命名為Operation Triangulation。

卡巴斯基執行長Eugene Kaspersky指出,調查分析才剛開始,尚無法得知這樁攻擊的完整面貌。目前僅知,攻擊行動是攻擊者傳送有惡意附件的iMessage給受害者,再利用多個已知iOS漏洞安裝惡意軟體。攻擊過程無需用戶任何動作,只要點選訊息即可安裝惡意程式,並啟動後續下載最終植入間諜軟體。該公司說,其中一個漏洞是蘋果去年12月就修補的CVE-2022-46690,是一個中度風險越界寫入(out-of-bounds write)漏洞。

一旦用戶iPhone被植入間諜軟體,就會開始蒐集iPhone中的麥克風錄音、iMessage的相片、定位及其他多種活動的資料,再送到外部伺服器上。卡巴斯基目前還在研究這間諜軟體,可以確定的是Operation Triangulation和之前已知的iOS間諜軟體,包括Pegasus、Predator或Reign都不同。

雖然受限於iOS設計,這個惡意程式無法長期在iPhone內長期滲透,但是卡巴斯基分析多個受害手機顯示,可能手機重開機會再度感染惡意程式。他們追查到最早感染時間為2019年,但到2023年6月,攻擊仍在進行中。最新近被感染的iOS版本為15.7版。

卡巴斯基也有數十名員工遭到感染,但該公司表示由於及早採取行動,公司作業流程和用戶資料都未受影響,也解決了威脅。執行長Kaspersky說,他們相信自己並非主要攻擊目標。

遭到感染的用戶不易察覺,不過仍有跡可循。最明顯的感染指標是iPhone的「資料使用」項顯示有BackupAgent的行程。少部分受害iPhone會無法安裝iOS更新。

雖然這樁攻擊行動尚有許多疑點待研究,但只要關閉iMessage就能防止Triangulation行動的攻擊。

熱門新聞

Advertisement