卡巴斯基全球研究与分析团队（GReAT）在最近的安全分析师大会上揭示了他们对臭名昭著的三角攻击行动的调查过程。该团队展示了围绕IOS漏洞和漏洞利用的新细节，这些漏洞和漏洞利用是此次攻击的基础，并分析了针对公众和卡巴斯基员工的攻击活动。

今年夏天早些时候，卡巴斯基发现了一场针对iOS设备的高级持续性威胁 (APT) 活动。该攻击活动被命名为“三角行动”，这些攻击采用了一种复杂的方法，通过iMessage发布零点击漏洞利用程序，最终完全控制了设备及其用户数据。卡巴斯基全球研究与分析团队（GReAT）评估认为，该行动的主要目标可能涉及偷偷监控用户，甚至会影响到卡巴斯基自己的员工。由于攻击的复杂性和iOS生态系统的封闭性，一个专门的跨团队工作组花费了大量的时间和资源对其进行详细了的技术分析。

在安全分析师大会上，公司专家揭示了以前未披露的攻击链细节，这个攻击链会利用5个漏洞，其中4个是此前未知的零日漏洞，卡巴斯基研究人员向苹果公司提交这些漏洞后，苹果公司修补了这些漏洞。

该公司的专家通过一个字体处理库漏洞确定了一个初始入口点。第二个入口点则是内存映射代码中存在一个极其强大且极易被利用的漏洞，该漏洞允许访问设备的物理内存。此外，攻击者还利用了另外两个漏洞来绕过最新的苹果处理器的硬件安全功能。研究人员还发现，除了能够在没有用户交互的情况下通过iMessage远程感染苹果设备外，攻击者还有一个通过Safari网络浏览器进行攻击的平台。这帮助我们发现并修复了第五个漏洞。

苹果公司团队正式发布了安全更新，解决了卡巴斯基研究人员发现的4个零日漏洞（CVE-2023-32434、CVE-2023-32435、CVE-2023-38606 和 CVE-2023-41990）。这些漏洞影响了广泛的苹果产品，包括 iPhone、iPod、iPad、macOS 设备、Apple TV 和 Apple Watch。

“采用较新苹果芯片的设备基于硬件的安全功能大大增强了它们抵御网络攻击的能力。但它们并非无懈可击。三角攻击行动提供我们，在处理来自陌生来源的iMessage附件时要谨慎。从“三角行动”中采用的策略中吸取经验教训，可以提供有价值的指导。此外，在系统封闭性和可访问性之间找到平衡可能有助于增强安全态势，”卡巴斯基GReAT首席安全研究员Boris Larin评论说。

尽管卡巴斯基的受害者包括公司的高层和中层管理人员以及位于俄罗斯、欧洲和 META 的研究人员，但该公司并不是该攻击的唯一目标。

除了发布调查报告和开发专门的三角攻击检测工具之外，全球研究与分析团队（GReAT）的专家还建立了一个电子邮件地址，以便任何感兴趣的人都可以参与调查。作为结果，公司研究人员收到了有关个人成为“三角行动”受害者的确认信息，并为这些受害者提供了加强安全的指导。

“保护系统免受高级网络攻击并非易事，在 iOS 等封闭系统中更为复杂。这就是为什么实施多层安全措施来检测和防止此类攻击如此重要的原因，”卡巴斯基全球研究与分析团队总监Igor Kuznetsov评论说。

要了解更多有关三角行动的详情，请访问Securelist.com。卡巴斯基将在未来公布更多有关该威胁的技术细节，并在网站上提供详细的分析说明。

为了避免成为由已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

定期更新您的操作系统、应用程序和反病毒软件，修补所有已知漏洞。

谨慎处理要求提供敏感信息的邮件、短信或来电。在分享任何个人信息或点击可疑链接之前，请核实发件人的身份。

为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力

为了实现端点级别的检测、响应和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球220,000家企业客户保护最重要的东西。