“三角测量”行动的初始的投放物是针对iOS系统的攻击链中在所发布的恶意附件是特殊构造的PDF文件，其带有特定构造字体文件（TrueType字体格式），利用CVE-2023-41990漏洞，该漏洞为远程代码执行（RCE）漏洞，在字体解析上下文过程中触发，当iOS“调整”（ADJUST）TrueType字体时，会执行恶意构造的代码。

这是攻击者的入口，此时并未获得完整的系统权限。由于iOS系统采用哈佛架构设计，每个应用拥有独立的内存空间，此时攻击者无法直接访问系统资源或其他进程内存，也没有完成持久化。

接下来，使用“ROP/JOP”技术（面向返回跳转编程技术），利用已有的PAC指针认证机制（在iOS升级过程中逐渐具备的）绕过并实现控制流劫持。

利用NSExpression作为执行载体调用patch JavaScript内核完成“bplist”（二进制任务清单）部署。最终部署约11,000行高度混淆的JavaScript代码，完成对JavaScriptCore的内核级Patch与重构，实现提权。

攻击者通过Patch后的JavaScript引擎，调用内核调试接口“$VM”实现对引擎内存的读写和API调用。再利用CVE-2023-32434漏洞内存映射整数溢出使得用户态程序可以实现整机物理内存读写。

又利用CVE-2023-38606漏洞利用硬件内存映射I/O(MMIO)寄存器来绕过页面保护层，在该漏洞执行后已具备内核态操作能力。启动Imagent进程清理前期利用痕迹、拉起浏览器进程并部署验证器。

验证器用于判断环境是否满足投递Payload的条件，通过验证后，反复利用CVE-2023-32434漏洞和CVE-2023-38606漏洞直至实现Payload成功投递。

http://t.cn/AXwIbUws