黑客使用恶意的MDM解决方案来监视“高度目标化”的iPhone用户

攻击者被发现滥用移动设备管理（MDM）协议—；大型企业使用的一种安全软件，用于控制和执行员工使用的设备上的策略—；远程控制和部署恶意应用程序。

利用Apple MDM服务远程控制设备

要将iOS设备注册到MDM，用户需要手动安装企业开发证书，该证书由企业通过Apple Developer enterprise Program获得。

公司可以通过电子邮件或使用Apple Configurator的无线注册服务网页交付MDM配置文件。

用户安装后，该服务允许公司管理员远程控制设备、安装/删除应用程序、安装/吊销证书、锁定设备、更改密码要求等。

“MDM使用Apple Push Notification Service（APNS）向受管设备发送唤醒消息。然后，该设备连接到预定的web服务以检索命令并返回结果，”Apple解释了MDM。

由于注册过程的每个步骤都需要用户交互，例如在iPhone上安装证书颁发机构，目前尚不清楚攻击者是如何将13部目标iPhone注册到其MDM服务中的。

然而，发现此次活动的思科塔洛斯威胁情报部门的研究人员认为，攻击者可能使用了一种社会工程机制，比如虚假的技术支持式通话，或者对目标设备进行了物理访问。

通过泄露的电报和WhatsApp应用进行间谍活动

据研究人员称，这场活动背后的攻击者利用MDM服务在目标iPhone上远程安装合法应用程序的修改版本，目的是秘密监视用户，并从聊天应用程序中窃取用户的实时位置、联系人、照片、短信和私人信息。

为了向Telegram和WhatsApp等安全消息应用程序添加恶意功能，攻击者使用了“B选项侧装技术“这使他们能够向合法的应用程序中注入动态库。

研究人员解释说：“注入库可以请求额外的权限、执行代码并从原始应用程序窃取信息等。”。

恶意软件注入到受损版本的电报中，WhatsApp应用程序旨在将联系人、位置和图像从受损设备发送到位于hxxp[：]//techwach[.]的远程服务器通用域名格式

研究人员说：“Talos在印度的这次活动中发现了另一个执行恶意代码的合法应用程序。PrayTime用于在祈祷时间通知用户。”。

“其目的是下载并向用户显示特定的广告。该应用还利用专用框架读取安装在其上的设备上的短信，并将其上传到C2服务器。”

目前，尚不清楚是谁策划了这场运动，谁是这场运动的目标，以及袭击背后的动机是什么，但研究人员发现证据表明，袭击者是从印度行动的，而袭击者则假扮俄罗斯人，插上了“假旗”。

塔洛斯的研究人员说：“在三年的时间里，攻击者一直处于监视之下，这可能是因为受损设备的数量很少。我们发现在MDM上注册的测试设备带有一个印度电话号码，并在一家印度供应商上注册。”。

“所有技术细节都指向一名与受害者在同一个国家的演员：印度。”

截至报道之时，苹果已经吊销了3份与此次活动相关的证书，在接到塔罗斯团队的通知后，该公司还取消了其余两份证书。