미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)은 KEV(Known Exploited Vulnerabilities) 카탈로그에 악용 증거를 인용하여 6개의 결함을 추가했다.
여기에는 애플이 이번 주에 패치한 세 가지 취약점(CVE-2023-32434, CVE-2023-32435 및 CVE-2023-32439), VMware의 두 가지 결함(CVE-2023-20867 및 CVE-2023-20887), Zyxel 장치에 영향을 미치는 단점(CVE-2023-27992)이 포함되어 있다.
코드 실행을 허용하는 CVE-2023-32434 및 CVE-2023-32435는 2019년부터 시작된 1년에 걸친 사이버 스파이 캠페인의 일환으로 스파이웨어를 배포하기 위해 제로데이로 악용된 것으로 알려졌다.
Operation Triangulation이라고 불리는 이 활동은 파일 생성, 수정, 제거 및 도용, 프로세스 나열 및 종료, iCloud 키체인에서 자격 증명 수집 및 사용자의 위치 추적과 같은 손상된 장치에서 광범위한 정보를 수집하도록 설계된 TriangleDB의 배포에서 절정에 이른다.
공격 체인은 대상 공격자가 아무런 상호 작용 없이 페이로드의 실행을 자동으로 트리거하는 첨부 파일이 포함된 iMessage를 수신하는 것으로 시작되어 제로 클릭 공격이 된다.
카스퍼스키는 초기 보고서에서 "악성 메시지는 잘못된 형식이며 ‘사용자’에 대한 경고나 알림을 트리거하지 않는다."라고 밝혔다.
CVE-2023-32434 및 CVE-2023-32435는 스파이 공격에서 악용된 iOS의 많은 취약성 중 두 가지이다. 그 중 하나는 IOM Mobile Frame Buffer의 높은 심각도 범위 외 쓰기 문제인 CVE-2022-46690으로, 악성 앱이 커널 권한으로 임의 코드를 실행하도록 무기화할 수 있다.
이 취약점은 2022년 12월에 개선된 입력 검증을 통해 애플에 의해 수정되었다.
카스퍼스키는 TriangleDB에는 MacOS를 참조하는 사용되지 않는 기능뿐만 아니라 장치의 마이크, 카메라 및 주소록에 대한 액세스 권한이 포함되어 있고, 이 권한은 나중에 활용할 수 있다고 주의를 당부했다.
★대한민국 시큐리티 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★