Kaspersky เปิดเผยข้อมูลเกี่ยวกับซอฟต์แวร์ที่โจมตีอุปกรณ์ iOS

ส.ก.ป. 30/06/2023 15:12 น.

จากรายงานเกี่ยวกับแคมเปญ Operation Triangulation ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผู้เชี่ยวชาญของ Kaspersky ได้เปิดเผยรายละเอียดของสปายแวร์ที่ใช้ในการโจมตีครั้งนี้

มัลแวร์ TriangleDB โจมตีอุปกรณ์ iOS

ล่าสุด Kaspersky ได้รายงานเกี่ยวกับแคมเปญ APT (Advanced Persistent Threat) บนมือถือใหม่ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผ่านทาง iMessage ภายหลังการสืบสวนเป็นเวลา 6 เดือน นักวิจัยของ Kaspersky ได้เผยแพร่การวิเคราะห์เชิงลึกของห่วงโซ่ช่องโหว่และผลการค้นพบโดยละเอียดเกี่ยวกับการติดไวรัสสปายแวร์

ซอฟต์แวร์ที่เรียกว่า TriangleDB จะถูกปรับใช้โดยใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงสิทธิ์รูทบนอุปกรณ์ iOS เมื่อเปิดใช้งานแล้ว มันจะทำงานในหน่วยความจำของอุปกรณ์เท่านั้น ดังนั้นร่องรอยของการติดไวรัสจะหายไปเมื่ออุปกรณ์รีบูต ดังนั้นหากเหยื่อรีบูตอุปกรณ์ ผู้โจมตีจะต้องติดไวรัสในอุปกรณ์อีกครั้งโดยส่ง iMessage อีกครั้งพร้อมไฟล์แนบที่เป็นอันตราย เพื่อเริ่มกระบวนการโจมตีทั้งหมดใหม่อีกครั้ง

หากอุปกรณ์ไม่รีบูต ซอฟต์แวร์จะถอนการติดตั้งโดยอัตโนมัติหลังจาก 30 วัน เว้นแต่ผู้โจมตีจะขยายระยะเวลานี้ออกไป TriangleDB ทำหน้าที่เป็นสปายแวร์ที่ซับซ้อน โดยทำหน้าที่รวบรวมและตรวจสอบข้อมูลหลากหลายประเภท

ซอฟต์แวร์ประกอบด้วยคำสั่ง 24 คำสั่งพร้อมฟังก์ชั่นหลากหลาย คำสั่งเหล่านี้มีวัตถุประสงค์ต่างๆ เช่น การโต้ตอบกับระบบไฟล์ของอุปกรณ์ (รวมถึงการสร้าง แก้ไข แตกไฟล์ และลบไฟล์) การจัดการกระบวนการ (แสดงรายการและการยุติ) แตกสตริงเพื่อรวบรวมข้อมูลประจำตัวของเหยื่อ และการตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ

ขณะวิเคราะห์ TriangleDB ผู้เชี่ยวชาญของ Kaspersky ค้นพบว่าคลาส CRConfig มีวิธีที่ไม่ได้ใช้ที่เรียกว่า populatedWithFieldsMacOSOnly แม้จะไม่ได้ใช้ในการติดเชื้อ iOS แต่การมีอยู่ของไวรัสนี้ก็แสดงให้เห็นถึงความสามารถในการกำหนดเป้าหมายไปที่อุปกรณ์ macOS

Kaspersky แนะนำให้ผู้ใช้ใช้มาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมาย: สำหรับการปกป้องระดับปลายทาง การสืบสวน และการตอบสนองอย่างทันท่วงที ให้ใช้โซลูชั่นการรักษาความปลอดภัยระดับองค์กรที่เชื่อถือได้ เช่น Kaspersky Unified Monitoring and Analysis Platform (KUMA) อัปเดตระบบปฏิบัติการ Microsoft Windows และซอฟต์แวร์ของบริษัทอื่นโดยเร็วที่สุด และดำเนินการเป็นประจำ ให้สิทธิ์ในการเข้าถึง Threat Intelligence (TI) ล่าสุดสำหรับทีม SOC Kaspersky Threat Intelligence เป็นแหล่งเข้าถึง TI แห่งเดียวของบริษัท ซึ่งให้ข้อมูลและข้อมูลเชิงลึกเกี่ยวกับการโจมตีทางไซเบอร์ย้อนหลัง 20 ปีจาก Kaspersky จัดเตรียมทีมงานความปลอดภัยทางไซเบอร์ของคุณเพื่อรับมือกับภัยคุกคามเป้าหมายล่าสุดด้วยหลักสูตรการฝึกอบรมออนไลน์ของ Kaspersky ที่พัฒนาโดยผู้เชี่ยวชาญที่ GreAT เนื่องจากการโจมตีแบบกำหนดเป้าหมายจำนวนมากเริ่มต้นด้วยการฟิชชิ่งหรือกลวิธีทางวิศวกรรมสังคม จึงควรจัดให้มีการฝึกอบรมความตระหนักด้านความปลอดภัยและการฝึกอบรมทักษะให้กับพนักงานในบริษัทของคุณ เช่น Kaspersky Automated Security Awareness Platform…

Georgy Kucherin ผู้เชี่ยวชาญด้านความปลอดภัยจากทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky กล่าวว่า “เมื่อเราเจาะลึกลงไปถึงการโจมตีนี้ เราก็พบว่าการติดเชื้อ iOS ที่ซับซ้อนนี้มีคุณสมบัติแปลกๆ หลายอย่าง เรากำลังดำเนินการวิเคราะห์แคมเปญนี้ต่อไป และจะคอยอัปเดตให้ทุกคนทราบเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีที่ซับซ้อนนี้ เราขอเรียกร้องให้ชุมชนความปลอดภัยทางไซเบอร์แบ่งปันความรู้และร่วมมือกันเพื่อให้ได้ภาพที่ชัดเจนยิ่งขึ้นเกี่ยวกับภัยคุกคามต่างๆ ที่เกิดขึ้น”

แหล่งที่มา