Theo Kaspersky, phần mềm độc hại TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple chứa ít nhất bốn module khác nhau để thực hiện các hành động như: ghi âm micrô, trích xuất chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.
Cuộc tấn công đầu tiên trong chiến dịch được phát hiện vào tháng 6/2023, khi các thiết bị iOS trở thành mục tiêu của một cuộc tấn công với mục đích nhắm vào các nhà ngoại giao và quan chức chính phủ, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng nền tảng iMessage để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.
Quy mô và danh tính của nhóm tin tặc thực hiện tấn công vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu của chúng.
Hệ quả của các cuộc tấn công trong chiến dịch này là hình thành một backdoor có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng CVE-2023-32434, một lỗ hổng kernel có thể lạm dụng để thực thi mã tùy ý.
Hiện tại, theo công ty an ninh mạng Kaspersky, việc triển khai TriangleDB được bắt đầu bằng hai giai đoạn xác thực, đó là trình xác thực JavaScipt và trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.
Các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố vào ngày 23/10 vừa qua rằng: “Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ điều khiển từ xa”.
Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được nhúng TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và phần mềm độc hại của chúng không bị phá hủy.
Về cách thức hoạt động, điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, chúng sẽ kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một payload được mã hóa.
Thông tin được thu thập sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Chúng được phân phối sau một loạt các bước như trình xác thực nhị phân, tệp nhị phân Mach-O, cụ thể như sau:
Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và ”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ điều khiển trừ xa để tìm nạp phần mềm độc hại TriangleDB. Một trong những bước đầu tiên mà backdoor này thực hiện là thiết lập liên lạc với máy chủ điều khiển từ xa, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu hành vi và cản trở quá trình phân tích.
Phần mềm độc hại cũng được cung cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp có chứa vị trí, chuỗi khóa , dữ liệu liên quan đến SQL và dữ liệu được ghi từ micrô. Một tính năng đáng chú ý của module này là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%.
Thêm vào đó, module giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động, mã mạng di động và mã vùng vị trí, để sắp xếp vị trí của nạn nhân khi không có dữ liệu GPS.
Lê Thị Bích Hằng
16:00 | 26/07/2024
09:00 | 06/06/2023
13:00 | 26/02/2024
09:00 | 07/06/2023
09:00 | 23/09/2021
14:00 | 18/10/2024
Cục An toàn thông tin (Bộ TT&TT) cho biết tình trạng lừa đảo mạo danh trực tuyến vẫn đang diễn ra phổ biến, người dân cần hết sức cảnh giác để tránh trở thành nạn nhân.
13:00 | 26/09/2024
Để phát triển nề nếp, chế độ quản lý, chỉ đạo công tác Cơ yếu, bản chế độ công tác Cơ yếu tạm thời, từ những tháng cuối năm 1951 trở đi, cùng với việc lớp Trần Phú về nước, khóa học huấn luyện chính trị tổ chức ở Nghệ An và các phong trào học tập chính trị, quân sự do Đảng, Nhà nước, Quân đội phát động, nhận thức về công tác ơ yếu ở các cấp lãnh đạo cũng như đối với cán bộ, nhân viên cơ yếu đã có một bước chuyển biến mới.
16:00 | 25/09/2024
Sáng 25/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) phối hợp cùng một số cơ quan, đơn vị trong và ngoài Ban Cơ yếu Chính phủ tổ chức khai mạc diễn tập thực chiến đảm bảo an toàn thông tin mạng cho hệ thống công nghệ thông tin tại Ban Cơ yếu Chính phủ năm 2024.
07:00 | 09/09/2024
Từ những ngày đầu thành lập, tổ chức cơ yếu đã trải qua nhiều thăng trầm, thay đổi để thích ứng với tình hình mới. Cơ cấu tổ chức hệ thống cơ yếu như một cỗ máy tinh vi, không ngừng được hoàn thiện để đáp ứng yêu cầu ngày càng cao của công tác bảo vệ an ninh quốc gia. Trong lịch sử 79 năm, các dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam về ngày 09 tháng 9 đều liên quan đến việc ban hành các quyết định về cơ cấu tổ chức.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Ngày 22/10, Giao lưu hữu nghị quốc phòng biên giới Việt Nam - Lào lần thứ hai chính thức bắt đầu với lễ đón đoàn đại biểu Lào tại cửa khẩu Lóng Sập, huyện Mộc Châu, tỉnh Sơn La.
16:00 | 23/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
