{"id":30279,"date":"2023-06-29T13:26:21","date_gmt":"2023-06-29T11:26:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30279"},"modified":"2023-06-29T13:26:21","modified_gmt":"2023-06-29T11:26:21","slug":"triangledb-mobile-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/triangledb-mobile-apt\/30279\/","title":{"rendered":"TriangleDB: das Spyware-Implantat der Operation Triangulation"},"content":{"rendered":"<p>Vor nicht allzu langer Zeit haben unsere Technologien einen neuen APT-Angriff auf iPhones <a href=\"https:\/\/www.kaspersky.de\/blog\/triangulation-attack-on-ios\/30186\/\" target=\"_blank\" rel=\"noopener\">entdeckt<\/a>. Der Angriff war Teil einer Kampagne, die u.a. auf Kaspersky-Mitarbeiter abzielte. Unbekannte Angreifer nutzten eine Schwachstelle im iOS-Kernel, um ein Spyware-Implantat mit dem Namen TriangleDB in den Speicher des Ger\u00e4ts einzuschleusen. Unser Expertenteam konnte dieses Implantat gr\u00fcndlich untersuchen<\/p>\n<h2>Was kann das TriangleDB-Implantat bewirken?<\/h2>\n<p>Die Untersuchung dieses Implantats war keine leichte Aufgabe, da es nur im Speicher des Telefons arbeitet und keine Spuren im System hinterl\u00e4sst. Das hei\u00dft, der Neustart l\u00f6scht alle Spuren des Angriffs. Die Malware verf\u00fcgte \u00fcber einen Selbstzerst\u00f6rungs-Timer, der 30 Tage nach der Erstinfektion automatisch aktiviert wurde (sofern die Betreiber nicht beschlossen haben, einen Befehl zur Verl\u00e4ngerung der Betriebszeit zu senden). Die Grundfunktionalit\u00e4t des Implantats umfasst die folgenden Merkmale:<\/p>\n<ul>\n<li>Dateimanipulation (Erstellung, \u00c4nderung, L\u00f6schung und Exfiltration);<\/li>\n<li>Manipulationen an laufenden Prozessen (Abrufen einer Liste und Beenden der Prozesse);<\/li>\n<li>Exfiltration von iOS Schl\u00fcsselbund-Elementen \u2013 die Zertifikate, digitale Identit\u00e4ten und\/oder Anmeldeinformationen f\u00fcr verschiedene Services enthalten k\u00f6nnen;<\/li>\n<li>\u00dcbermittlung von Geolokalisierungsdaten \u2013 einschlie\u00dflich Koordinaten, H\u00f6he, Geschwindigkeit und Bewegungsrichtung.<\/li>\n<\/ul>\n<p>Au\u00dferdem kann das Implantat zus\u00e4tzliche Module in den Speicher des Telefons laden und ausf\u00fchren. Wenn Sie sich f\u00fcr die technischen Details des Implantats interessieren, finden Sie diese in einem Beitrag im <a href=\"https:\/\/securelist.com\/triangledb-triangulation-implant\/110050\/\" target=\"_blank\" rel=\"noopener\">Securelist-Blog<\/a> (der sich an Cybersicherheitsexperten richtet).<\/p>\n<h2>APT-Angriffe auf mobile Ger\u00e4te<\/h2>\n<p>In letzter Zeit waren traditionelle PCs das Hauptziel von APT-Angriffen. Moderne mobile Ger\u00e4te sind jedoch heutzutage in Bezug auf Leistung und Funktionalit\u00e4t mit B\u00fcro-PCs vergleichbar. Sie werden verwendet, um mit gesch\u00e4ftskritischen Informationen zu interagieren, speichern sowohl pers\u00f6nliche als auch gesch\u00e4ftliche Geheimnisse und k\u00f6nnen als Zugangsschl\u00fcssel zu arbeitsbezogenen Diensten dienen. Daher bem\u00fchen sich APT-Gruppen umso mehr, Angriffe auf mobile Betriebssysteme zu entwickeln<\/p>\n<p>Nat\u00fcrlich ist Triangulation nicht der erste Angriff, der auf iOS-Ger\u00e4te abzielt. Jeder erinnert sich an den ber\u00fcchtigten (und leider immer noch andauernden) <a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-protect-from-pegasus-spyware\/28055\/\" target=\"_blank\" rel=\"noopener\">Fall<\/a> der kommerziellen Spyware Pegasus. Es gab auch andere Beispiele, wie Insomnia, Predator, Reign, usw. Es ist also kein Wunder, dass sich APT-Gruppen auch f\u00fcr das Android-Betriebssystem interessieren. Vor nicht allzu langer Zeit berichteten Nachrichtenagenturen <a href=\"https:\/\/thehackernews.com\/2023\/04\/pakistan-based-transparent-tribe.html\" target=\"_blank\" rel=\"noopener nofollow\">\u00fcber einen Angriff der APT-Gruppe<\/a> \u201eTransparent Tribe\u201c, die die CapraRAT-Backdoor gegen indische und pakistanische Nutzer dieses Systems einsetzte. Und im dritten Quartal des letzten Jahres <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2022\/107787\/\" target=\"_blank\" rel=\"noopener\">entdeckten<\/a> wir eine bisher unbekannte Spyware, die auf Farsi sprechende Benutzer abzielte<\/p>\n<p>All dies deutet darauf hin, dass es zum Schutz eines Unternehmens vor APT-Angriffen heutzutage notwendig ist, nicht nur die Sicherheit der station\u00e4ren Ger\u00e4te \u2013 Server und Workstations \u2013 zu gew\u00e4hrleisten, sondern auch die der mobilen Ger\u00e4te, die im Arbeitsprozess eingesetzt werden.<\/p>\n<h2>Wie Sie Ihre Chancen gegen APT-Angriffe auf Mobiltelefone verbessern k\u00f6nnen<\/h2>\n<p>Es w\u00e4re falsch anzunehmen, dass die von den Ger\u00e4teherstellern bereitgestellten Standardschutztechnologien ausreichen, um mobile Ger\u00e4te zu sch\u00fctzen. Der Fall Operation Triangulation zeigt deutlich, dass selbst die Technologien von Apple nicht perfekt sind. Wir empfehlen daher, dass Unternehmen immer ein mehrstufiges Schutzsystem einsetzen sollten, das bequeme Tools zur Kontrolle mobiler Ger\u00e4te sowie Systeme zur \u00dcberwachung ihrer Netzwerkinteraktionen umfasst.<\/p>\n<p>Die erste Verteidigungslinie sollte eine L\u00f6sung der MDM-Klasse sein. Unser <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Endpoint Security for Mobile<\/a> bietet eine zentrale Verwaltung der Sicherheit mobiler Ger\u00e4te \u00fcber Kaspersky Security Center, unsere Administrationskonsole. Dar\u00fcber hinaus bietet unsere L\u00f6sung Schutz vor Phishing, Web-Bedrohungen und Malware (nur f\u00fcr Android; Apple erlaubt leider keine Antivirenl\u00f6sungen von Drittanbietern).<\/p>\n<p>Insbesondere nutzt es die <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/kaspersky-security-network\" target=\"_blank\" rel=\"noopener nofollow\">Cloud ML for Android<\/a>-Technologie, um Android-bezogene Malware zu erkennen. Diese Technologie, die in der KSN-Cloud arbeitet, basiert auf Methoden des maschinellen Lernens. Das Modell, das auf Millionen bekannter Android-Malware-Samples trainiert wurde, erkennt auch bisher unbekannte Malware mit hoher Pr\u00e4zision.<\/p>\n<p>Jedoch nutzen Bedrohungsakteure zunehmend mobile Plattformen f\u00fcr raffinierte, gezielte Angriffe. Daher ist es sinnvoll, ein System zu verwenden, das Netzwerkaktivit\u00e4ten \u00fcberwachen kann \u2013 sei es Security Information and Event Management (SIEM) oder ein anderes Tool, das Ihre Experten in die Lage versetzt, komplexe Sicherheitsvorf\u00e4lle mit un\u00fcbertroffener erweiterter Erkennung und Reaktion zu bew\u00e4ltigen, wie unsere <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/anti-targeted-attack-platform?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti Targeted Attack Platform<\/a>.<\/p>\n<p>Die oben erw\u00e4hnte Operation Triangulation wurde von unserem Expertenteam bei der \u00dcberwachung eines unternehmenseigenen WLAN-Netzwerks mit unserem eigenen SIEM-System Kaspersky Unified Monitoring and Analysis Platform (KUMA) entdeckt. Dar\u00fcber hinaus sind unsere <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/threat-intelligence?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Threat Intelligence<\/a>\u00a0L\u00f6sungen in der Lage, Sicherheitssysteme und -experten mit aktuellen Informationen \u00fcber neue Bedrohungen sowie \u00fcber Techniken, Taktiken und Verfahren von Angreifern zu versorgen.<\/p>\n<p>\u00a0<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"29280\">\n","protected":false},"excerpt":{"rendered":"<p>APT-Betreiber zeigen ein zunehmendes Interesse an mobilen Ger\u00e4ten. Unsere Experten haben eines ihrer Tools untersucht. <\/p>\n","protected":false},"author":2706,"featured_media":30280,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[522,50,19,4079,3294],"class_list":{"0":"post-30279","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-ios","11":"tag-iphone","12":"tag-mdm","13":"tag-siem"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/triangledb-mobile-apt\/30279\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/triangledb-mobile-apt\/25842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/triangledb-mobile-apt\/21283\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triangledb-mobile-apt\/28540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triangledb-mobile-apt\/26141\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triangledb-mobile-apt\/26468\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triangledb-mobile-apt\/28946\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triangledb-mobile-apt\/35612\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triangledb-mobile-apt\/48471\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/triangledb-mobile-apt\/20761\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triangledb-mobile-apt\/21469\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triangledb-mobile-apt\/32151\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triangledb-mobile-apt\/31835\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30279"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30279\/revisions"}],"predecessor-version":[{"id":30281,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30279\/revisions\/30281"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30280"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}