使用MDM软件的iPhone黑客活动比之前所知的范围更广

正如我们在上一篇文章中所报道的那样，本月早些时候，塔洛斯威胁情报部门的研究人员发现一群印度黑客滥用移动设备管理（MDM）服务，劫持并监视印度的几个目标iPhone用户。

自2015年8月以来，攻击者被发现滥用MDM服务，在目标iPhone上远程安装恶意版本的合法应用，包括Telegram、WhatsApp和PrayTime。

这些经过修改的应用程序旨在秘密监视iOS用户，并从第三方聊天应用程序窃取他们的实时位置、短信、联系人、照片和私人信息。

在他们正在进行的调查中，Talos研究人员发现了一个新的MDM基础设施和几个恶意二进制文件–；旨在针对运行微软Windows操作系统的受害者–；托管在以前活动中使用的相同基础设施上。

• Ios更新whatsapp[.]com（新）
• Wpitcher[]通用域名格式
• Ios证书更新。通用域名格式

“我们知道，MDM和Windows服务于2018年5月在同一台C2服务器上启动并运行，”研究人员在今天发布的一篇博文中说。

“一些C2服务器目前仍在运行。Apache设置非常具体，与恶意IPA应用的Apache设置完美匹配。”

可能与“Bahamut黑客组织”有联系

除此之外，研究人员还发现了一些潜在的相似之处，将这场活动与一个名为“Bahamut”的老黑客组织联系起来。Bahamut是一个高级威胁参与者，之前曾使用与最新iOS恶意软件活动类似的MDM技术瞄准安卓设备。

新确定的MDM基础设施于2018年1月创建，于今年1月至3月投入使用，目标是两台印度设备和一台位于卡塔尔、拥有英国电话号码的设备。

据研究人员称，Bahamut在其Android恶意软件活动中也针对类似的卡塔尔个人，Bellingcat在一篇博客文章中详细介绍了这一点。

“Bahamut与我们之前帖子中提到的一个恶意iOS应用程序共享了一个域名，”研究人员说。

“我们发现的新MDM平台与中东目标类似的受害者，即卡塔尔，使用来自LyCAMobile的英国移动电话号码。巴哈特在其竞选活动中针对的是类似卡塔尔的个人。”

除了分发带有恶意功能的修改过的Telegram和WhatsApp应用程序外，新发现的服务器还分发修改过的Safari浏览器和IMO视频聊天应用程序，以窃取更多受害者的个人信息。

攻击者使用恶意Safari浏览器窃取登录凭据

据研究人员称，恶意Safari浏览器已预先配置为自动过滤用户的用户名和密码，用于其他各种网络服务，如雅虎、Rediff、亚马逊、谷歌、Reddit、百度、ProtonMail、Zoho、Tutanota等。

研究人员说：“该恶意软件持续监控网页，在用户输入用户名和密码以窃取凭据时，查找包含用户名和密码的HTML表单字段。被检查的HTML字段的名称与域名一起嵌入到应用程序中。”。

恶意浏览器包含三个恶意插件—；添加书签，添加到收藏夹，并添加到阅读列表—；就像其他应用一样，将窃取的数据发送到远程攻击者控制的服务器。

目前，尚不清楚谁是此次行动的幕后黑手，谁是此次行动的目标，以及袭击背后的动机是什么，但技术因素表明，袭击者来自印度，资金充足。

研究人员说，感染这种恶意软件的人需要注册他们的设备，这意味着“他们应该随时保持警惕，以避免意外注册。”

避免成为此类攻击受害者的最佳方法是始终从官方应用商店下载应用程序。