A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:
- az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
- két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
- egy Zyxel hibát (CVE-2023-27992).
Egyes feltételezések szerint a CVE-2023-32434-et és a CVE-2023-32435-öt nulladik napi sérülékenységként használhatták ki kémszoftverek telepítésére egy 2019 óta tartó kiberkémkedési kampány részeként.
A Triangulation művelet során a telepített TriangleDB a kompromittált eszközökről információk széles skáláját volt képes begyűjteni. Mint például fájlok létrehozását, módosítását, eltávolítását, folyamatok listázását, hitelesítő adatok gyűjtését az iCloud Keychainből, valamint a felhasználó tartózkodási helyének nyomonkövetését.
A támadási folyamat azzal kezdődött, hogy a kiszemelt áldozat kapott egy iMessage üzenetet egy csatolmánnyal, amely automatikusan elindította a payload végrehajtását, így ez egy nulla kattintásos exploit.
Az orosz kiberbiztonsági vállalat vizsgálata az év elején kezdődött, amikor saját vállalati hálózatában észlelte a kompromittálódást. Az aktív kihasználás fényében az FCEB (Federal Civilian Executive Branch) számára ajánlott a gyártók által biztosított javítások alkalmazása.
A CISA által kiadott figyelmeztetés a BIND9 DNS szoftvercsomagban található három hibára (CVE-2023-2828, CVE-2023-2829 és CVE-2023-2911, CVSS pontszám: 7,5) vonatkozik, amelyeket végső soron túlterheléses támadásra (DoS – Denial of Service) használhatnak ki. 2023-ban már ez a második alkalom, hogy az ISC (Internet Systems Consortium) javításokat adott ki a BIND9 hasonló problémáinak megoldására.
