Sử dụng tấn công Zero-Click
“Các tin tặc tấn công trên các mục tiêu lây nhiễm bằng cách khai thác Zero-Click thông qua nền tảng iMessage và phần mềm độc hại chạy với đặc quyền root, giành quyền kiểm soát hoàn toàn đối với thiết bị và dữ liệu người dùng”, hãng bảo mật cho biết.
Công ty an ninh mạng của Nga chia sẻ rằng họ đã phát hiện ra dấu vết của sự xâm phạm sau khi tạo bản sao lưu ngoại tuyến của các thiết bị được nhắm mục tiêu. Các bản sao lưu thiết bị di động chứa một phần bản sao của hệ thống tệp, bao gồm một số dữ liệu người dùng và cơ sở dữ liệu dịch vụ.
Thông thường, các phương thức tấn công độc hại thường có chung kịch bản là đánh lừa nạn nhân thực hiện một số hành vi khác nhau để kích hoạt mã độc xâm nhập hệ thống, ví dụ như nhấp vào liên kết, tệp đính kèm hoặc email độc hại để tự cài đặt mã độc trên điện thoại, máy tính bảng hoặc máy tính của nạn nhân. Tuy nhiên, với tấn công Zero-Click, phần mềm có thể được cài đặt trên thiết bị mà nạn nhân không cần nhấp vào bất kỳ liên kết nào. Các cuộc tấn công Zero-Click về cơ bản cũng để lại rất ít dấu vết, điều đó có nghĩa là việc phát hiện chúng là vô cùng khó khăn.
Các nhà nghiên cứu tại Kaspersky cho biết, trong chiến dịch này, chuỗi tấn công bắt đầu với việc thiết bị nhận được tin nhắn qua iMessage có chứa tệp đính kèm với mã độc hại. Việc khai thác này là một hình thức tấn công Zero-Click, nghĩa là cùng với việc nhận thông báo thì phần mềm độc hại sẽ kích hoạt lỗ hổng mà không yêu cầu bất kỳ tương tác nào của người dùng để thực thi mã. Nó cũng được cấu hình để truy xuất các payload nhằm và loại bỏ phần mềm độc hại giai đoạn cuối khỏi máy chủ từ xa mà Kaspersky mô tả là “nền tảng APT đầy đủ tính năng”.
Bộ phần mềm độc hại chạy với quyền root, có khả năng thu thập thông tin nhạy cảm và được trang bị để chạy mã được tải xuống dưới dạng mô-đun plugin từ máy chủ. Hơn nữa, phần mềm này cũng âm thầm truyền thông tin cá nhân đến các máy chủ từ xa, bao gồm bản ghi micrô, tin nhắn, định vị vị trí và dữ liệu về một số hoạt động khác của nạn nhân.
Trong giai đoạn cuối cùng, cả thông báo ban đầu và khai thác trong tệp đính kèm đều bị xóa để che đạy mọi dấu vết lây nhiễm. Kaspersky cho biết: “Dòng thời gian của nhiều thiết bị cho thấy rằng chúng có thể bị nhiễm trở lại sau khi khởi động”. Quy mô và phạm vi chính xác của chiến dịch vẫn chưa rõ ràng, nhưng hãng bảo mật này cho biết các cuộc tấn công đang diễn ra, với việc lây nhiễm thành công vào các thiết bị chạy iOS 15.7, được phát hành vào ngày 12/9/2022.
Nga cáo buộc tình báo Mỹ tấn công mạng
Trong một diễn biến liên quan, Cơ quan An ninh Liên bang Nga (FSB) đã đưa ra cáo buộc tình báo Mỹ đứng sau các chiến dịch gián điệp đang diễn ra. FSB tuyên bố rằng Apple đã cố tình cung cấp cho Cơ quan An ninh Quốc gia Mỹ (NSA) một backdoor mà họ có thể sử dụng để lây nhiễm phần mềm gián điệp cho iPhone ở quốc gia này.
Đồng thời, FSB cho biết đã phát hiện ra sự lây nhiễm phần mềm độc hại trên hàng nghìn thiết bị iPhone của các quan chức trong chính phủ Nga và nhân viên từ các đại sứ quán của Israel, Trung Quốc và một số quốc gia thành viên của Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) ở Nga. Tuy nhiên, FSB lại không cung cấp bằng chứng cụ thể cho các tuyên bố của mình.
Hiện tại, NSA chưa có phản ứng cụ thể từ cáo buộc của Nga, trong khi Apple khẳng định rằng họ chưa bao giờ làm việc với bất kỳ chính phủ nào để chèn backdoor vào các sản phẩm của Apple và tuyệt đối sẽ không làm như vậy.
Phòng tránh trước cuộc tấn công Zero-Click
Vì các cuộc tấn công Zero-Click dựa trên việc không yêu cầu sự tương tác nào, nên người dùng rất khó để chủ động tự bảo vệ mình. Tuy nhiên, nhìn chung các cuộc tấn công này có xu hướng nhắm vào các nạn nhân cụ thể vì mục đích gián điệp hoặc tài chính. Vì vậy các biện pháp phòng ngừa hợp lý người dùng có thể thực hiện bao gồm:
Lê Thị Bích Hằng
14:00 | 01/11/2023
10:00 | 31/05/2023
14:00 | 23/06/2023
09:00 | 07/06/2023
10:00 | 12/09/2023
14:00 | 04/10/2023
15:00 | 28/11/2022
15:00 | 13/10/2023
13:00 | 13/11/2023
07:00 | 22/05/2023
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
