{"id":21469,"date":"2023-07-06T15:34:21","date_gmt":"2023-07-06T18:34:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21469"},"modified":"2023-07-06T15:34:21","modified_gmt":"2023-07-06T18:34:21","slug":"triangledb-mobile-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/triangledb-mobile-apt\/21469\/","title":{"rendered":"Como acontece o implante do spyware usado na Opera\u00e7\u00e3o Triangula\u00e7\u00e3o"},"content":{"rendered":"<p>H\u00e1 pouco tempo, nossas tecnologias <a href=\"https:\/\/www.kaspersky.com.br\/blog\/triangulation-attack-on-ios\/21332\/\" target=\"_blank\" rel=\"noopener\">detectaram<\/a> um novo ataque APT em iPhones. Ele fazia parte de uma campanha direcionada, entre outros, aos funcion\u00e1rios da Kaspersky. Invasores desconhecidos usaram uma vulnerabilidade do kernel do iOS para implantar um spyware chamado TriangleDB na mem\u00f3ria do dispositivo. Nossos especialistas estudaram este ataque minuciosamente.<\/p>\n<h2>O que o implante do TriangleDB pode fazer?<\/h2>\n<p>Estudar esse implante n\u00e3o foi tarefa f\u00e1cil, pois ele funciona apenas na mem\u00f3ria do telefone \u2014 sem deixar rastros no sistema. Ou seja, a reinicializa\u00e7\u00e3o apaga completamente todos os vest\u00edgios do ataque, e o malware tinha um temporizador de autodestrui\u00e7\u00e3o que era ativado automaticamente 30 dias ap\u00f3s a infec\u00e7\u00e3o inicial (caso os operadores decidissem n\u00e3o enviar um comando para estender seu tempo de ativa\u00e7\u00e3o). A funcionalidade b\u00e1sica do implante inclui os seguintes recursos:<\/p>\n<ul>\n<li>manipula\u00e7\u00e3o de arquivos (criar, modificar, deletar e exfiltrar);<\/li>\n<li>manipula\u00e7\u00f5es com processos em execu\u00e7\u00e3o (obtendo uma lista e finalizando-os);<\/li>\n<li>exfiltra\u00e7\u00e3o de elementos do keychain do iOS \u2013 que podem conter certificados, identidades digitais e\/ou credenciais para diversos servi\u00e7os;<\/li>\n<li>transmiss\u00e3o de dados de geolocaliza\u00e7\u00e3o \u2014 incluindo coordenadas, altitude, velocidade e dire\u00e7\u00e3o do movimento.<\/li>\n<\/ul>\n<p>Al\u00e9m disso, o implante pode carregar m\u00f3dulos adicionais na mem\u00f3ria do telefone e execut\u00e1-los. Se voc\u00ea estiver interessado nos detalhes t\u00e9cnicos do implante, poder\u00e1 encontr\u00e1-los nessa <a href=\"https:\/\/securelist.com\/triangledb-triangulation-implant\/110050\/\" target=\"_blank\" rel=\"noopener\">publica\u00e7\u00e3o no blog Securelist<\/a> (direcionado a especialistas em ciberseguran\u00e7a).<\/p>\n<h2>Ataques APT em dispositivos mobile<\/h2>\n<p>Recentemente, o principal alvo dos ataques APT de forma geral tem sido, principalmente, computadores pessoais tradicionais. No entanto, os dispositivos mobile s\u00e3o atualmente compar\u00e1veis \u200b\u200baos PCs de escrit\u00f3rio em termos de desempenho e funcionalidade. Eles s\u00e3o usados \u200b\u200bpara interagir com informa\u00e7\u00f5es cr\u00edticas de neg\u00f3cios, armazenar segredos pessoais e comerciais, podendo servir como chaves de acesso a servi\u00e7os relacionados ao trabalho. Portanto, os grupos APT est\u00e3o se esfor\u00e7ando ainda mais para projetar ataques a sistemas operacionais m\u00f3veis.<\/p>\n<p>Obviamente, a triangula\u00e7\u00e3o n\u00e3o \u00e9 o primeiro ataque direcionado a dispositivos iOS. Todos se lembram do infame (e, infelizmente, ainda em andamento) <a href=\"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-from-pegasus-spyware\/18973\/\" target=\"_blank\" rel=\"noopener\">caso<\/a> do spyware comercial Pegasus. Existem outros exemplos tamb\u00e9m, como Insomnia, Predator, Reign, etc. Al\u00e9m disso, n\u00e3o \u00e9 uma surpresa que grupos APT tamb\u00e9m estejam interessados \u200b\u200bno sistema operacional Android. H\u00e1 pouco tempo, os meios de comunica\u00e7\u00e3o <a href=\"https:\/\/thehackernews.com\/2023\/04\/pakistan-based-transparent-tribe.html\" target=\"_blank\" rel=\"noopener nofollow\">escreveram sobre um ataque<\/a> do grupo APT \u201cTransparent Tribe\u201d, que usou a backdoor CapraRAT contra usu\u00e1rios indianos e paquistaneses desse sistema. E no terceiro trimestre do ano passado, <a href=\"https:\/\/securelist.com\/apt-trends-report-q3-2022\/107787\/\" target=\"_blank\" rel=\"noopener\">descobrimos<\/a> um spyware at\u00e9 ent\u00e3o desconhecido, direcionado a usu\u00e1rios que falam farsi.<\/p>\n<p>Tudo isso sugere que, para proteger uma empresa dos ataques APT nos dias de hoje, \u00e9 necess\u00e1rio garantir a seguran\u00e7a n\u00e3o apenas dos equipamentos fixos \u2014 como servidores e esta\u00e7\u00f5es de trabalho \u2014, mas tamb\u00e9m dos dispositivos mobile utilizados no processo de trabalho.<\/p>\n<h2>Como melhorar suas chances contra ataques APT em dispositivos mobile<\/h2>\n<p>Seria errado presumir que as tecnologias de prote\u00e7\u00e3o padr\u00e3o fornecidas pelos fabricantes de dispositivos s\u00e3o suficientes para proteger os dispositivos m\u00f3veis. O caso da Opera\u00e7\u00e3o Triangula\u00e7\u00e3o mostra claramente que nem mesmo as tecnologias da Apple s\u00e3o perfeitas. Portanto, recomendamos que as empresas sempre empreguem um sistema de prote\u00e7\u00e3o multin\u00edvel, que inclua ferramentas adequadas para assegurar o controle dos aparelhos, al\u00e9m de sistemas que possibilitem monitorar as intera\u00e7\u00f5es de rede.<\/p>\n<p>A primeira linha de defesa deve ser uma solu\u00e7\u00e3o de classe MDM. Nosso <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Endpoint Security for Mobile<\/a> fornece gerenciamento centralizado da seguran\u00e7a de dispositivos mobile por meio do Kaspersky Security Center, nosso console de administra\u00e7\u00e3o. Al\u00e9m disso, nossa solu\u00e7\u00e3o oferece prote\u00e7\u00e3o contra phishing, amea\u00e7as web e malware (somente para Android; infelizmente, a Apple n\u00e3o permite solu\u00e7\u00f5es antiv\u00edrus de terceiros).<\/p>\n<p>Em particular, ele emprega a tecnologia <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/kaspersky-security-network\" target=\"_blank\" rel=\"noopener nofollow\">Cloud ML para Android<\/a> para detectar malware relacionado a esse sistema operacional. Ao trabalhar na nuvem da KSN, a tecnologia \u00e9 baseada em m\u00e9todos de aprendizado de m\u00e1quina. O modelo, treinado em milh\u00f5es de amostras de malware Android conhecidas, detecta at\u00e9 mesmo malware previamente desconhecido com alta precis\u00e3o.<\/p>\n<p>No entanto, os agentes de amea\u00e7as usam cada vez mais plataformas m\u00f3veis em ataques direcionados sofisticados. Portanto, faz sentido usar um sistema que pode monitorar a atividade da rede \u2013 seja informa\u00e7\u00f5es de seguran\u00e7a e gerenciamento de eventos (SIEM, na sigla em ingl\u00eas) ou alguma outra ferramenta que possa capacitar seus especialistas a lidar com incidentes complexos ciberseguran\u00e7a com detec\u00e7\u00e3o e resposta estendidas inigual\u00e1veis, como nosso <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/anti-targeted-attack-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti Targeted Attack Platform<\/a>.<\/p>\n<p>A opera\u00e7\u00e3o de triangula\u00e7\u00e3o mencionada acima foi descoberta por nossos especialistas durante o monitoramento de uma rede Wi-Fi corporativa usando nosso pr\u00f3prio sistema SIEM Kaspersky Unified Monitoring and Analysis Platform (KUMA). Al\u00e9m disso, nossas solu\u00e7\u00f5es de <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/threat-intelligence?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Threat Intelligence<\/a> s\u00e3o capazes de fornecer aos sistemas de seguran\u00e7a e especialistas informa\u00e7\u00f5es atualizadas sobre novas amea\u00e7as, bem como sobre t\u00e9cnicas, t\u00e1ticas e procedimentos do invasor.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"20020\">\n","protected":false},"excerpt":{"rendered":"<p>Operadores de APT est\u00e3o demonstrando um interesse cada vez maior em dispositivos mobile. Nossos especialistas estudaram uma de suas ferramentas.<\/p>\n","protected":false},"author":2706,"featured_media":21470,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[71,96,61,1723,1838],"class_list":{"0":"post-21469","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-ios","11":"tag-iphone","12":"tag-mdm","13":"tag-siem"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triangledb-mobile-apt\/21469\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/triangledb-mobile-apt\/25842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/triangledb-mobile-apt\/21283\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triangledb-mobile-apt\/28540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triangledb-mobile-apt\/26141\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triangledb-mobile-apt\/26468\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triangledb-mobile-apt\/28946\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triangledb-mobile-apt\/35612\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triangledb-mobile-apt\/48471\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/triangledb-mobile-apt\/20761\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/triangledb-mobile-apt\/30279\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triangledb-mobile-apt\/32151\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triangledb-mobile-apt\/31835\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21469"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21469\/revisions"}],"predecessor-version":[{"id":21472,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21469\/revisions\/21472"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21470"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}