事件回顾

2023年6月，网络安全公司卡巴斯基表示，其网络上的一些iPhone被黑客利用iOS漏洞入侵，该漏洞通过iMessage零点击漏洞安装恶意软件。此次攻击所涉及的零日漏洞（CVE-2023-32434和CVE-2023-32435），允许攻击者完全控制设备和用户数据，导致无需任何用户交互即可执行代码，并从攻击者的服务器下载其他恶意软件。随后，消息和附件将从设备中擦除。同时，有效负载留在后面，以root权限运行以收集系统和用户信息并执行攻击者发送的命令。

卡巴斯基将该攻击活动命名为“三角测量行动”（Operation Triangulation），并表示其始于2019 年，且目前仍在活跃中。为了更好地了解“三角测量行动”（Operation Triangulation）背后的攻击者，卡巴斯基对其活动进行了深入剖析，结果发现，攻击者在秘密从受感染设备中窃取敏感信息的同时，还能极好地隐藏和掩盖其踪迹。

Operation Triangulation深入剖析

研究人员概述了Operation Triangulation的感染链：设备接收恶意iMessage附件，启动一系列漏洞利用，其执行最终导致启动TriangleDB植入。更详细地说，感染链可以用下图来概括：

该攻击框架的核心是一个名为TriangleDB的后门，攻击者利用CVE-2023-32434（一个可被滥用执行任意代码的内核漏洞）获得目标iOS设备的root权限后部署该后门。

除了TriangleDB植入的漏洞和组件外，感染链还包含两个“验证器”阶段，即JavaScript验证器和二进制验证器，这些验证器会收集有关受害设备的各种信息，并将其发送到C2服务器。然后，这些信息被用来评估植入TriangleDB的iPhone或iPad是否可以作为研究设备。通过执行这样的检查，攻击者可以确保他们的零日漏洞和植入物不会被摧毁。