操作三角洲：隐秘能力的威胁行动

主要要点

• 操作三角洲活动自六月以来出现，利用Apple iOS的零日漏洞。
• 该行动涉及部署TriangleDB木马进行数据外泄。
• 攻击者在获得目标iOS设备的root权限后，使用JavaScript Validator和Binary Validator。
• 利用CVE-2023-32434内核漏洞来启动TriangleDB木马。
• 二进制验证器有助于隐藏攻击证据，并收集设备信息。

近期报导显示，操作三角洲的威胁行为者展现了显著的隐秘能力。这个活动自2023年六月出现，利用了AppleiOS的零日漏洞，使得攻击者能够部署TriangleDB木马以进行数据外泄。的报导指出，攻击者在目标iOS设备上获得root权限后，开始使用JavaScript Validator和BinaryValidator这两个payload，以识别目标设备与研究环境的关联，随后利用来启动TriangleDB木马。

进一步分析显示，BinaryValidator不仅能够删除崩溃日志以隐藏攻击证据，还能清除在钓鱼电子邮件中使用的恶意iMessage附件，并搜寻某些设备信息，同时启用个性化的广告追踪。研究人员表示：「三角洲行动背后的对手非常注重避开检测。攻击者对iOS内部运作有很深的了解，在攻击过程中使用了私有的未公开API。」