Theo Kaspersky, phần mềm độc hại TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple iOS chứa ít nhất bốn module khác nhau để thực hiện các hành động như: ghi âm micrô, trích xuất chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.
Cuộc tấn công đầu tiên trong chiến dịch được phát hiện vào tháng 6/2023, khi các thiết bị iOS trở thành mục tiêu của một cuộc tấn công zero-click với mục đích nhắm vào các nhà ngoại giao và quan chức chính phủ, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng nền tảng iMessage để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.
Quy mô và danh tính của nhóm tin tặc thực hiện tấn công vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu của chúng.
Hệ quả của các cuộc tấn công trong chiến dịch này là hình thành một backdoor có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng CVE-2023-32434, một lỗ hổng kernel có thể lạm dụng để thực thi mã tùy ý.
Hiện tại, theo công ty an ninh mạng Kaspersky, việc triển khai TriangleDB được bắt đầu bằng hai giai đoạn xác thực, đó là trình xác thực JavaScipt và trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.
Các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố vào ngày 23/10 vừa qua rằng: “Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ điều khiển từ xa”.
Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được nhúng TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và phần mềm độc hại của chúng không bị phá hủy.
Về cách thức hoạt động, điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, chúng sẽ kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một payload được mã hóa.
Thông tin được thu thập sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Chúng được phân phối sau một loạt các bước như trình xác thực nhị phân, tệp nhị phân Mach-O, cụ thể như sau:
Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và macOS”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ điều khiển trừ xa để tìm nạp phần mềm độc hại TriangleDB. Một trong những bước đầu tiên mà backdoor này thực hiện là thiết lập liên lạc với máy chủ điều khiển từ xa, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu hành vi và cản trở quá trình phân tích.
Phần mềm độc hại cũng được cung cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp có chứa vị trí, chuỗi khóa iCloud, dữ liệu liên quan đến SQL và dữ liệu được ghi từ micrô. Một tính năng đáng chú ý của module này là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%.
Thêm vào đó, module giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động, mã mạng di động và mã vùng vị trí, để sắp xếp vị trí của nạn nhân khi không có dữ liệu GPS.
Lê Thị Bích Hằng
09:00 | 06/06/2023
13:00 | 26/02/2024
09:00 | 07/06/2023
09:00 | 23/09/2021
16:00 | 02/05/2024
Theo báo cáo từ Nhóm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA), nhóm tin tặc đến từ Nga là Sandworm đã thực hiện một cuộc tấn công mạng để làm gián đoạn hoạt động tại khoảng 20 cơ sở hạ tầng quan trọng ở Ukraine.
11:00 | 08/04/2024
Cục An toàn thông tin, Bộ TT&TT vừa công bố cẩm nang một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công mã hóa tống tiền (ransomware) cho các cơ quan, tổ chức, doanh nghiệp.
08:00 | 04/04/2024
Ngày 20/3, cơ quan quản lý Pháp thông báo phạt Google 250 triệu euro (272 triệu USD) vì vi phạm các cam kết chi trả cho các công ty truyền thông khi sử dụng lại nội dung của các công ty này trên mạng trực tuyến, cũng như sử dụng tư liệu để đào tạo công cụ hội thoại Trí tuệ nhân tạo (AI) mà không có thông báo.
09:00 | 02/04/2024
Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024