Theo Kaspersky, phần mềm độc hại TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple iOS chứa ít nhất bốn module khác nhau để thực hiện các hành động như: ghi âm micrô, trích xuất chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.
Cuộc tấn công đầu tiên trong chiến dịch được phát hiện vào tháng 6/2023, khi các thiết bị iOS trở thành mục tiêu của một cuộc tấn công zero-click với mục đích nhắm vào các nhà ngoại giao và quan chức chính phủ, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng nền tảng iMessage để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.
Quy mô và danh tính của nhóm tin tặc thực hiện tấn công vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu của chúng.
Hệ quả của các cuộc tấn công trong chiến dịch này là hình thành một backdoor có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng CVE-2023-32434, một lỗ hổng kernel có thể lạm dụng để thực thi mã tùy ý.
Hiện tại, theo công ty an ninh mạng Kaspersky, việc triển khai TriangleDB được bắt đầu bằng hai giai đoạn xác thực, đó là trình xác thực JavaScipt và trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.
Các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố vào ngày 23/10 vừa qua rằng: “Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ điều khiển từ xa”.
Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được nhúng TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và phần mềm độc hại của chúng không bị phá hủy.
Về cách thức hoạt động, điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, chúng sẽ kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một payload được mã hóa.
Thông tin được thu thập sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Chúng được phân phối sau một loạt các bước như trình xác thực nhị phân, tệp nhị phân Mach-O, cụ thể như sau:
Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và macOS”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ điều khiển trừ xa để tìm nạp phần mềm độc hại TriangleDB. Một trong những bước đầu tiên mà backdoor này thực hiện là thiết lập liên lạc với máy chủ điều khiển từ xa, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu hành vi và cản trở quá trình phân tích.
Phần mềm độc hại cũng được cung cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp có chứa vị trí, chuỗi khóa iCloud, dữ liệu liên quan đến SQL và dữ liệu được ghi từ micrô. Một tính năng đáng chú ý của module này là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%.
Thêm vào đó, module giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động, mã mạng di động và mã vùng vị trí, để sắp xếp vị trí của nạn nhân khi không có dữ liệu GPS.
Lê Thị Bích Hằng
09:00 | 06/06/2023
13:00 | 26/02/2024
09:00 | 07/06/2023
09:00 | 23/09/2021
16:00 | 19/04/2024
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
09:00 | 08/03/2024
Theo báo cáo của Kaspersky, số lượng các vụ tấn công trực tuyến tại Việt Nam trong năm 2023 đã giảm 29% so với năm 2022, từ 41,9 triệu vụ xuống còn 29,6 triệu vụ.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
13:00 | 23/01/2024
Báo cáo mới nhất về chỉ số sẵn sàng trí tuệ nhân tạo toàn cầu cho thấy, Việt Nam đứng thứ 5/10 trong ASEAN, tăng một bậc so với năm trước.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024