Kaspersky เปิดเผยข้อมูลเกี่ยวกับซอฟต์แวร์ที่โจมตีอุปกรณ์ iOS

ส.ก.ป. 30 มิถุนายน 2566 15:12 น.

หลังจากได้รับรายงานเกี่ยวกับแคมเปญ Operation Triangulation ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผู้เชี่ยวชาญของ Kaspersky ได้เปิดเผยรายละเอียดของสปายแวร์ที่ใช้ในการโจมตีครั้งนี้

มัลแวร์ TriangleDB โจมตีอุปกรณ์ iOS

เมื่อเร็ว ๆ นี้ Kaspersky ได้รายงานเกี่ยวกับแคมเปญ APT (Advanced Persistent Threat) บนมือถือตัวใหม่ ซึ่งกำหนดเป้าหมายอุปกรณ์ iOS ผ่าน iMessage หลังจากการตรวจสอบเป็นเวลาหกเดือน นักวิจัยของ Kaspersky ได้เผยแพร่การวิเคราะห์เชิงลึกเกี่ยวกับห่วงโซ่ช่องโหว่และ ผลการตรวจติดตาม อย่างละเอียดของสปายแวร์

ซอฟต์แวร์ที่ชื่อว่า TriangleDB ถูกนำมาใช้งานโดยอาศัยช่องโหว่เพื่อเข้าถึงสิทธิ์รูทบนอุปกรณ์ iOS เมื่อเปิดใช้งานแล้ว ซอฟต์แวร์จะทำงานเฉพาะในหน่วยความจำของอุปกรณ์เท่านั้น ดังนั้นร่องรอยของการติดเชื้อจะหายไปเมื่ออุปกรณ์รีบูต ดังนั้น หากเหยื่อรีบูตอุปกรณ์ ผู้โจมตีจะต้องติดไวรัสในอุปกรณ์อีกครั้งโดยการส่ง iMessage อีกครั้งพร้อมไฟล์แนบที่เป็นอันตราย เพื่อเริ่มต้นกระบวนการโจมตีทั้งหมดอีกครั้ง

หากอุปกรณ์ไม่ได้รีบูต ซอฟต์แวร์จะถอนการติดตั้งตัวเองโดยอัตโนมัติหลังจาก 30 วัน เว้นแต่ผู้โจมตีจะขยายระยะเวลานี้ออกไป TriangleDB ทำหน้าที่เป็นสปายแวร์ที่ซับซ้อน ทำหน้าที่รวบรวมและตรวจสอบข้อมูลได้หลากหลาย

ซอฟต์แวร์นี้ประกอบด้วย 24 คำสั่งพร้อมฟังก์ชันที่หลากหลาย คำสั่งเหล่านี้มีวัตถุประสงค์การใช้งานที่หลากหลาย เช่น การโต้ตอบกับระบบไฟล์ของอุปกรณ์ (รวมถึงการสร้าง แก้ไข แตกไฟล์ และลบไฟล์) การจัดการกระบวนการ (การแสดงรายการและสิ้นสุด) การแยกสตริงเพื่อรวบรวมข้อมูลประจำตัวของเหยื่อ และการตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ

ขณะวิเคราะห์ TriangleDB ผู้เชี่ยวชาญของ Kaspersky ค้นพบว่าคลาส CRConfig มีเมธอดที่ไม่ได้ใช้ชื่อว่า populateWithFieldsMacOSOnly แม้ว่าจะไม่ได้ใช้ในการติดไวรัสบน iOS แต่การมีอยู่ของเมธอดนี้บ่งชี้ว่าสามารถกำหนดเป้าหมายอุปกรณ์ macOS ได้

Kaspersky ขอแนะนำให้ผู้ใช้ปฏิบัติตามมาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบเจาะจงเป้าหมาย: เพื่อการปกป้องอุปกรณ์ปลายทาง การสืบสวน และการตอบสนองอย่างทันท่วงที ควรใช้โซลูชันความปลอดภัยระดับองค์กรที่เชื่อถือได้ เช่น Kaspersky Unified Monitoring and Analysis Platform (KUMA); อัปเดตระบบปฏิบัติการ Microsoft Windows และซอฟต์แวร์จากภายนอกโดยเร็วที่สุดและสม่ำเสมอ; มอบสิทธิ์เข้าถึง Threat Intelligence (TI) ล่าสุดให้กับทีม SOC Kaspersky Threat Intelligence เป็นแหล่งเข้าถึง TI ขององค์กรที่ใช้งานง่าย ให้ข้อมูลและรายงานการโจมตีทางไซเบอร์กว่า 20 ปีจาก Kaspersky; เตรียมความพร้อมให้ทีมรักษาความปลอดภัยทางไซเบอร์รับมือกับภัยคุกคามแบบเจาะจงเป้าหมายล่าสุดด้วยการฝึกอบรมออนไลน์ของ Kaspersky ซึ่งพัฒนาโดยผู้เชี่ยวชาญจาก GreAT; เนื่องจากการโจมตีแบบเจาะจงเป้าหมายจำนวนมากเริ่มต้นด้วยการฟิชชิ่งหรือกลยุทธ์ทางวิศวกรรมสังคม จึงควรจัดการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยและการฝึกอบรมทักษะให้กับพนักงานบริษัท เช่น Kaspersky Automated Security Awareness Platform…

“เมื่อเราเจาะลึกการโจมตีนี้มากขึ้น เราพบว่าการติดเชื้อบน iOS ที่ซับซ้อนนี้มีลักษณะแปลกๆ หลายอย่าง เราจะวิเคราะห์แคมเปญนี้ต่อไป และจะแจ้งให้ทุกคนทราบความคืบหน้าเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีที่ซับซ้อนนี้ เราขอเรียกร้องให้ชุมชนไซเบอร์ซีเคียวริตี้แบ่งปันความรู้และร่วมมือกันเพื่อให้เห็นภาพภัยคุกคามต่างๆ ที่ชัดเจนยิ่งขึ้น” จอร์จี คูเชริน ผู้เชี่ยวชาญด้านความปลอดภัยจากทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ กล่าว

แหล่งที่มา