Theo Kaspersky, phần mềm độc hại TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple iOS chứa ít nhất bốn module khác nhau để thực hiện các hành động như: ghi âm micrô, trích xuất chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.
Cuộc tấn công đầu tiên trong chiến dịch được phát hiện vào tháng 6/2023, khi các thiết bị iOS trở thành mục tiêu của một cuộc tấn công zero-click với mục đích nhắm vào các nhà ngoại giao và quan chức chính phủ, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng nền tảng iMessage để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.
Quy mô và danh tính của nhóm tin tặc thực hiện tấn công vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu của chúng.
Hệ quả của các cuộc tấn công trong chiến dịch này là hình thành một backdoor có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng CVE-2023-32434, một lỗ hổng kernel có thể lạm dụng để thực thi mã tùy ý.
Hiện tại, theo công ty an ninh mạng Kaspersky, việc triển khai TriangleDB được bắt đầu bằng hai giai đoạn xác thực, đó là trình xác thực JavaScipt và trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.
Các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố vào ngày 23/10 vừa qua rằng: “Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ điều khiển từ xa”.
Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được nhúng TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và phần mềm độc hại của chúng không bị phá hủy.
Về cách thức hoạt động, điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, chúng sẽ kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một payload được mã hóa.
Thông tin được thu thập sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Chúng được phân phối sau một loạt các bước như trình xác thực nhị phân, tệp nhị phân Mach-O, cụ thể như sau:
Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và macOS”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ điều khiển trừ xa để tìm nạp phần mềm độc hại TriangleDB. Một trong những bước đầu tiên mà backdoor này thực hiện là thiết lập liên lạc với máy chủ điều khiển từ xa, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu hành vi và cản trở quá trình phân tích.
Phần mềm độc hại cũng được cung cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp có chứa vị trí, chuỗi khóa iCloud, dữ liệu liên quan đến SQL và dữ liệu được ghi từ micrô. Một tính năng đáng chú ý của module này là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%.
Thêm vào đó, module giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động, mã mạng di động và mã vùng vị trí, để sắp xếp vị trí của nạn nhân khi không có dữ liệu GPS.
Lê Thị Bích Hằng
09:00 | 06/06/2023
16:00 | 26/07/2024
13:00 | 26/02/2024
13:00 | 18/11/2024
09:00 | 07/06/2023
09:00 | 23/09/2021
08:00 | 29/01/2025
Từ một công ty khởi nghiệp nhỏ do quỹ đầu tư tư nhân hỗ trợ có trụ sở tại Hàng Châu, Trung Quốc, DeepSeek hiện đang trở thành cái tên được chú ý trên toàn cầu và gây chấn động khắp thung lũng Silicon. Sự kiện này không chỉ đánh dấu bước tiến vượt bậc của Trung Quốc mà còn khuấy động thị trường công nghệ toàn cầu, đồng thời làm dấy lên nhiều câu hỏi về cạnh tranh công nghệ và an ninh thông tin.
08:00 | 02/01/2025
Tháng 12/2024, Ban Công nghệ, Hiệp hội An ninh mạng quốc gia đã thực hiện khảo sát tại 4.935 cơ quan, doanh nghiệp tại Việt Nam. Từ đó, đưa ra báo cáo với những số liệu chi tiết, nổi bật là các vấn đề liên quan đến tình hình an ninh mạng mà các cơ quan, doanh nghiệp đang gặp phải trong năm vừa qua, đồng thời đưa ra những khuyến nghị và các giải pháp khắc phục. Dưới đây là các thông tin chi tiết của báo cáo.
15:00 | 17/12/2024
Nhà chức trách Pháp đã phạt Orange, nhà mạng lớn nhất của nước này 50 triệu Euro (53 triệu USD) do gửi quảng cáo không mong muốn cho hàng triệu khách hàng dưới hình thức thư điện tử (email).
11:00 | 05/12/2024
Trong 02 ngày 03 - 04/12/2024, tại Học viện Kỹ thuật mật mã, đã diễn ra Hội thảo khoa học quốc tế về mật mã và an toàn thông tin lần thứ nhất (VCRIS 2024). Đây là một diễn đàn học thuật, một sự kiện quốc tế đầu tiên tại Việt Nam về lĩnh vực mật mã và an toàn thông tin, thu hút được sự chú ý đặc biệt của các nhà khoa học, nhà nghiên cứu, các nghiên cứu sinh trong lĩnh vực này.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025