产业气象站|一个黑客组织的7年黑历史终因太嘚瑟被扒了出来( 二 ) 自2013年以来

文章图片
VandaTheGod宣传的电子邮件联系信息
例如， VandaTheGod[.]com的WHOIS记录显示，该网站是由一个来自巴西的人注册的，更确切地说，是来自Uberlandia ，使用的是电子邮件地址fathernazi@gmail[.]com 。碰巧的是，过去VandaTheGod声称自己是UGNazi黑客组织的成员。

文章图片
VandaTheGod[.]comWHOIS信息
这个电子邮件地址被用来注册其他网站，如braziliancyberarmy[.]com：

文章图片
由fathernazi@gmail.com注册的其他域
然而，这并不是唯一一个由VandaTheGod在网上分享的关于攻击者身份的有价值的信息。例如，下面的截图显示了巴西女演员兼电视节目主持人米里安·里奥斯被泄露的电子邮件账户:

文章图片
米里安·里奥斯在VandaTheGod的Twitterfeed上的受感染帐户的屏幕截图
然而，这张截图也显示了一个名为“VandaDeAssis”的Facebook选项卡，查找这个名字后，我们找到了一个属于攻击者的个人资料:

文章图片
VandaDeAssis的Facebook账号
在对iOS数字取证和事件响应（DFIR）进行例行调查之后，研究人员发现了一些可疑事件，这些事件早在2018年1月就影响了iOS上的默认邮件应用程序。研究人员分析了这些事件，发现了一个影响苹果iphone和ipad的可利用漏洞。 ZecOps在很长一段时间内，在企业用户、vip和mssp上检测到该漏洞的多个触发器。
该漏洞的攻击范围包括向受害者的邮箱发送自定义电子邮件，使其能够在iOS12上的iOSMobileMail应用程序或在iOS13上发送的邮件中触发该漏洞。
几乎没有可疑事件包括黑客通常使用的字符串（例如414141…4141），经过确认，我们验证了这些字符串是由电子邮件发送者提供的。值得注意的是，尽管有证据显示证实了受攻击者的电子邮件是由受害者的iOS设备接收和处理的，但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此，我们推断这些电子邮件可能已被有意删除。
我们知道从2018年1月开始在iOS11.2.2上发生了多个触发事件，当前，攻击者可能正在滥用这些漏洞，详情请点此。在研究触发这些漏洞的过程中，我们已经看到一些可疑受害者之间的相似之处。
受影响的版本：1.所有经过测试的iOS版本都容易受到攻击，包括iOS13.4.1；2.根据我们的发现，这些漏洞都是在iOS11.2.2或更高版本上主动触发的；3.iOS6及更高版本容易受到攻击， iOS6于2012年发布， iOS6之前的版本可能也会受到攻击，但我们尚未检查较早的版本。因为在iOS6发行时， iPhone5已上市。
研究人员发现， MIME库中MFMutableData的实现缺少对系统调用ftruncate()的漏洞检查，该漏洞导致越界写入。我们还找到了一种无需等待系统调用ftruncate失败即可触发OOB-Write的方法。此外，我们发现了可以远程触发的堆溢出。众所周知，这两种漏洞都是可以远程触发的。 OOB写入漏洞和堆溢出漏洞都是由于相同的漏洞而引发的，即未正确处理系统调用的返回值。远程漏洞可以在处理下载的电子邮件时触发，在这种情况下，电子邮件将无法完全下载到设备上。
受影响的库：/System/Library/PrivateFrameworks/MIME.framework/MIME；易受攻击的函数：-[MFMutableDataappendBytes:length:] 。利用漏洞后的异常行为，除了手机邮件应用暂时放缓外，用户观察不到任何其他异常行为。在iOS12上尝试利用漏洞（成功/失败）之后，用户只会注意到邮件应用程序突然崩溃。在iOS13上，除了暂时的速度下降之外，这不会引起注意。如果随后进行另一次攻击并删除电子邮件，则失败的攻击在iOS13上不会明显。