ส.ก.ป.
หลังจากได้รับรายงานเกี่ยวกับแคมเปญ Operation Triangulation ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผู้เชี่ยวชาญของ Kaspersky ได้เปิดเผยรายละเอียดของสปายแวร์ที่ใช้ในการโจมตีครั้งนี้
 |
| มัลแวร์ TriangleDB โจมตีอุปกรณ์ iOS |
เมื่อเร็ว ๆ นี้ Kaspersky ได้รายงานเกี่ยวกับแคมเปญ APT (Advanced Persistent Threat) บนมือถือตัวใหม่ ซึ่งกำหนดเป้าหมายอุปกรณ์ iOS ผ่าน iMessage หลังจากการตรวจสอบเป็นเวลาหกเดือน นักวิจัยของ Kaspersky ได้เผยแพร่การวิเคราะห์เชิงลึกเกี่ยวกับห่วงโซ่ช่องโหว่และ ผลการค้นพบ โดยละเอียดเกี่ยวกับการติดสปายแวร์
มัลแวร์ที่ชื่อว่า TriangleDB แพร่กระจายโดยอาศัยช่องโหว่ที่ทำให้สามารถเข้าถึงสิทธิ์รูทบนอุปกรณ์ iOS ได้ เมื่อเปิดใช้งานแล้ว มัลแวร์จะทำงานเฉพาะในหน่วยความจำของอุปกรณ์เท่านั้น ดังนั้นร่องรอยของการติดเชื้อจะหายไปเมื่ออุปกรณ์รีบูต ดังนั้น หากเหยื่อรีบูตอุปกรณ์ ผู้โจมตีจะต้องติดไวรัสในอุปกรณ์อีกครั้งโดยส่ง iMessage อีกครั้งพร้อมไฟล์แนบที่เป็นอันตราย เพื่อเริ่มต้นกระบวนการโจมตีทั้งหมดใหม่อีกครั้ง
หากอุปกรณ์ไม่ได้รีบูต ซอฟต์แวร์จะถอนการติดตั้งโดยอัตโนมัติหลังจาก 30 วัน เว้นแต่ผู้โจมตีจะขยายระยะเวลานี้ออกไป TriangleDB ทำหน้าที่เป็นสปายแวร์ที่ซับซ้อน ทำหน้าที่รวบรวมและตรวจสอบข้อมูลได้หลากหลาย
ซอฟต์แวร์นี้ประกอบด้วย 24 คำสั่งพร้อมฟังก์ชันที่หลากหลาย คำสั่งเหล่านี้มีวัตถุประสงค์การใช้งานที่หลากหลาย เช่น การโต้ตอบกับระบบไฟล์ของอุปกรณ์ (รวมถึงการสร้าง แก้ไข แตกไฟล์ และลบไฟล์) การจัดการกระบวนการ (การแสดงรายการและสิ้นสุด) การแยกสตริงเพื่อรวบรวมข้อมูลประจำตัวของเหยื่อ และการตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ
ขณะวิเคราะห์ TriangleDB ผู้เชี่ยวชาญของ Kaspersky ค้นพบว่าคลาส CRConfig มีเมธอดที่ไม่ได้ใช้ชื่อว่า populateWithFieldsMacOSOnly แม้ว่าจะไม่ได้ใช้ในการติดไวรัสบน iOS แต่การมีอยู่ของเมธอดนี้ชี้ให้เห็นถึงความเป็นไปได้ที่จะโจมตีอุปกรณ์ macOS
Kaspersky ขอแนะนำให้ผู้ใช้ปฏิบัติตามมาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบเจาะจงเป้าหมาย: สำหรับการป้องกันปลายทาง การสืบสวน และการตอบสนอง ให้ใช้โซลูชันความปลอดภัยระดับองค์กรที่เชื่อถือได้ เช่น Kaspersky Unified Monitoring and Analysis Platform (KUMA); อัปเดตระบบปฏิบัติการ Microsoft Windows และซอฟต์แวร์จากภายนอกโดยเร็วที่สุดและสม่ำเสมอ; มอบสิทธิ์เข้าถึง Threat Intelligence (TI) ล่าสุดให้กับทีม SOC Kaspersky Threat Intelligence คือแหล่งข้อมูลที่เข้าถึงได้ง่ายสำหรับ TI ขององค์กร ซึ่งให้ข้อมูลและข้อมูลเชิงลึกเกี่ยวกับการโจมตีทางไซเบอร์จาก Kaspersky กว่า 20 ปี; เตรียมความพร้อมให้ทีมรักษาความปลอดภัยทางไซเบอร์รับมือกับภัยคุกคามแบบเจาะจงเป้าหมายล่าสุดด้วยหลักสูตรฝึกอบรมออนไลน์ของ Kaspersky ซึ่งพัฒนาโดยผู้เชี่ยวชาญจาก GreAT; เนื่องจากการโจมตีแบบเจาะจงเป้าหมายจำนวนมากเริ่มต้นด้วยการฟิชชิ่งหรือกลยุทธ์ทางวิศวกรรมสังคม จึงควรจัดการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยและการฝึกอบรมทักษะให้กับพนักงานในบริษัทของคุณ เช่น Kaspersky Automated Security Awareness Platform…
“เมื่อเราเจาะลึกการโจมตีนี้มากขึ้น เราพบว่าการติดเชื้อ iOS ที่ซับซ้อนนี้มีลักษณะแปลกๆ หลายอย่าง เรากำลังวิเคราะห์แคมเปญนี้อย่างต่อเนื่อง และจะแจ้งให้ทุกคนทราบข้อมูลอัปเดตเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีที่ซับซ้อนนี้ เราขอเรียกร้องให้ชุมชนไซเบอร์ซีเคียวริตี้แบ่งปันความรู้และร่วมมือกันเพื่อให้เห็นภาพภัยคุกคามต่างๆ ที่ชัดเจนยิ่งขึ้น” จอร์จี คูเชริน ผู้เชี่ยวชาญด้านความปลอดภัยจากทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ กล่าว
แหล่งที่มา
การแสดงความคิดเห็น (0)