Yapılan inceleme, kitte yer alan beş çekirdek (kernel ) exploit’inden birinin, Kaspersky’nin 2023 yılında Operation Triangulation kapsamında tespit ettiği exploit’in güncellenmiş bir versiyonu olduğunu ortaya koydu. Kalan dört exploit — bunların ikisi Operation Triangulation kamuoyuna açıklandıktan sonra geliştirilmiş — aynı exploit çerçevesi üzerine inşa edilmiş durumda. Kod benzerlikleri yalnızca kernel exploit’leriyle sınırlı kalmayıp Coruna’nın diğer bileşenlerine de uzanıyor. Bu durum, kit’in farklı kaynaklardan derlenmiş parçalardan oluşmadığını, aksine orijinal çerçevenin sürekli geliştirilen bir evrimi olduğunu ortaya koyuyor. 

Kod içerisinde Apple’ın A17, M3, M3 Pro ve M3 Max işlemcilerine destek bulunduğu gibi, 2023 sonbahar ve kış döneminde yayımlanan iOS 17.2’ye kadar olan sürümlere referanslar da yer alıyor. Ayrıca Apple’ın, Kaspersky tarafından bildirilen zafiyetleri gidermek amacıyla yayımladığı iOS 16.5 beta 4 sürümüne yönelik özel bir kontrol mekanizması da dikkat çekiyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin konuya ilişkin şunları söyledi:

“Coruna ilk ortaya çıktığında, mevcut bulgular kodun Triangulation ile bağlantısını net şekilde kurmak için yeterli değildi — yalnızca ortak zafiyetler, ortak bir geliştirici olduğu anlamına gelmez. Ancak ikili dosyaların detaylı analiziyle tablo değişti. Coruna, herkese açık exploit’lerin bir araya getirilmiş hali değil; Operation Triangulation çerçevesinin sürekli geliştirilen bir devamıdır. M3 gibi yeni işlemciler ve güncel iOS sürümlerine yönelik kontrollerin bulunması, orijinal geliştiricilerin bu kod tabanını aktif şekilde genişlettiğini gösteriyor. Başlangıçta son derece hedefli bir siber casusluk aracı olan bu yapı, artık ayrım gözetmeksizin kullanılmaya başlanmış durumda.”

Kaspersky, tüm iPhone kullanıcılarına en güncel iOS sürümünü derhal yüklemeleri çağrısında bulunuyor. Coruna tarafından istismar edilen zafiyetler Apple tarafından giderilmiş olsa da güncelleme yapılmamış cihazlar risk altında kalmaya devam ediyor.

Operation Triangulation, ilk olarak Haziran 2023’te ortaya çıkarılan ve iOS cihazlarını hedef alan gelişmiş kalıcı tehdit (APT) kampanyasıdır. Kaspersky, söz konusu kampanyayı kendi kurumsal Wi-Fi ağı üzerindeki trafik analizleri sırasında keşfetti; tehdit aktörünün, Kaspersky çalışanlarına ait çok sayıda iOS cihazını hedef aldığı belirlendi. Araştırmacılar, kampanya kapsamında Apple ürünlerinin geniş bir yelpazesini etkileyen dört adet sıfırıncı gün (zero-day) zafiyetinin istismar edildiğini tespit etti.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırılarına kurban gitmemek için şu önlemlerin alınmasını tavsiye ediyor:

• Bilinen güvenlik açıklarını kapatmak için işletim sisteminizi, uygulamalarınızı ve güvenlik yazılımlarınızı düzenli olarak güncelleyin.

• Güvenlik olaylarına karşı kapsamlı görünürlük elde etmek ve operasyonel performansı artırmak için Kaspersky SIEM gibi çözümler kullanarak tüm altyapınızdaki olay izleme süreçlerini merkezileştirin.

• Siber güvenlik ekibinize, kurumu hedef alan tehditler konusunda derinlemesine görünürlük sağlayın. En güncel Kaspersky Threat Intelligence (Threat Intelligence), olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sunarak risklerin hızla tespit edilmesine yardımcı olur.

• En güncel hedefli tehditlerle başa çıkabilmeleri için siber güvenlik ekibinizi pratik odaklı Kaspersky Cybersecurity Training ile yetkinleştirin.

• Güçlü bir uç nokta koruması ve olay müdahale kabiliyeti oluşturmak için Kaspersky Next ürün ailesinden yararlanın. Bu çözümler; temel EDR işlevleri, gelişmiş kontroller, yama yönetimi ve bulut güvenliği ile tehdit görünürlüğü sunarak işletmelerin karmaşık saldırıları minimum kaynakla hızla bertaraf etmesine olanak tanır.

Kaspersky, Coruna’nın Operation Triangulation çerçevesinin güncellenmiş versiyonu olduğunu tespit etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.

‘Operation Triangulation’ olarak adlandırılan kampanya, iMessage aracılığıyla sıfır tıklama açıklarını dağıtarak cihaz ve kullanıcı verileri üzerinde tam kontrol elde eden kötü amaçlı yazılımları çalıştırıyor. Yazılımın nihai amacı kullanıcıları gizlice gözetlemek.

Kaspersky uzmanları, Kaspersky Birleşik İzleme ve Analiz Platformu’nu (Kaspersky Unified Monitoring and Analysis Platform – KUMA) kullanarak kurumsal Wi-Fi ağ trafiğini izlerken yeni bir mobil APT kampanyasını ortaya çıkardı. Kaspersky araştırmacıları, analizlerini derinleştirdiklerinde tehdit aktörünün düzinelerce şirket çalışanının iOS cihazlarını hedef aldığını keşfetti.

Saldırı tekniğine dair araştırılmalar halen devam etse de Kaspersky araştırmacıları şu ana kadar genel bulaşma sırasını belirlemeyi başardı. Kurbanlar, iMessage aracılığıyla tıklama gerektirmeyen (sıfır tıklamalı) bir açık içeren ekin bulunduğu bir mesaj alıyor. Mesaj başka herhangi bir etkileşim olmadan, ayrıcalık yükseltme için kod yürütülmesine yol açan ve virüslü cihaz üzerinde tam kontrol sağlayan bir güvenlik açığını tetikliyor. Saldırgan cihazdaki varlığını sağladıktan sonra mesaj otomatik olarak siliniyor.

Söz konusu casus yazılım, mikrofon kayıtları, anlık mesajlaşma programlarından gelen fotoğraflar, coğrafi konum ve virüslü cihazın sahibinin diğer faaliyeti hakkındaki veriler de dahil olmak üzere özel bilgileri sessizce uzaktaki sunuculara iletiyor.

Analiz sırasında tehdidin Kaspersky ürünleri, teknolojileri ve hizmetleri üzerinde herhangi bir etkisi olmadığı ve Kaspersky müşterilerinin kullanıcı verilerinin veya kritik şirket süreçlerinin etkilenmediği doğrulandı. Saldırganlar yalnızca virüs bulaşmış cihazlarda depolanan verilere erişebiliyor. Kesin olmamakla birlikte saldırının özellikle Kaspersky’yi hedef almadığına inanılıyor. Kaspersky sadece bunu ilk keşfeden oldu. İlerleyen günlerde söz konusu siber saldırının küresel çapta yayılma durumunun daha da netleşmesi bekleniyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) EEMEA Başkanı Igor Kuznetsov, şunları söyledi: “Siber güvenlik söz konusu olduğunda en güvenli işletim sistemleri bile tehlike altında kalabilir. APT aktörleri sürekli olarak taktiklerini geliştirdiklerinden ve istismar edecek yeni zafiyetler aradıklarından, işletmeler sistemlerinin güvenliğine öncelik vermelidir. Bu, çalışanların eğitimine ve farkındalığına öncelik vermeyi, onlara potansiyel tehditleri etkili bir şekilde tanımaları ve bunlara karşı savunma yapmaları için en son tehdit istihbaratını ve araçlarını sağlamayı da içerir. Triangulation operasyonuyla ilgili araştırmamız devam ediyor. Bu casusluk operasyonunun Kaspersky dışında da hedefleri olabileceğinden, yakında daha fazla ayrıntı paylaşılmasını bekliyoruz.”

“Operation Triangulation” hakkında daha fazla bilgiyi Securelist’da bulabilirsiniz. iOS cihazınıza virüs bulaşıp bulaşmadığını kontrol etmek için web sitesindeki talimatları izleyebilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Unified Monitoring and Analysis Platform (KUMA) gibi işletmeler için güvenilir bir güvenlik çözümü kullanın. 
• Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımlarınızı mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın.
• SOC ekibinize en yeni tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek şekilde geliştirin. 
• Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, iOS cihazlarını hedef alan yeni mobil APT kampanyasını ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.