-
09/04/2020
-
85
-
553 bài viết
Chiến dịch tấn công zero-click mới bằng mã độc tinh vi nhắm vào người dùng iOS
Một chiến dịch tấn công APT chưa từng được phát hiện trước đây đang nhắm mục tiêu vào các thiết bị iOS. Đây là một phần của chiến dịch phức tạp và kéo dài có tên Operation Triangulation, bắt đầu năm 2019.
Công ty Kaspersky đã phát hiện dấu hiệu của sự xâm nhập sau khi tạo bản sao lưu ngoại tuyến của các thiết bị được nhắm mục tiêu. Hãng cho biết: “Các mục tiêu bị lây nhiễm thông qua tấn công zero-click trên nền tảng iMessage. Phần mềm độc hại chạy với quyền root, từ đó giành quyền kiểm soát hoàn toàn thiết bị và dữ liệu người dùng.”
Chuỗi tấn công bắt đầu khi thiết bị iOS nhận được tin nhắn iMessage có tệp đính kèm chứa mã khai thác. Hình thức khai thác này được gọi là zero-click, nghĩa là việc nhận tin nhắn sẽ kích hoạt lỗ hổng mà không cần tương tác từ người dùng để thực thi mã.
Đặc biệt, chuỗi tấn công lần này cũng được cấu hình để truy xuất các payload bổ sung nhằm leo thang đặc quyền và lây nhiễm mã độc từ một máy chủ từ xa. Kaspersky gọi đây là "nền tảng tấn công APT đầy đủ tính năng".
Mã độc trên hoạt động với quyền root, có khả năng thu thập thông tin nhạy cảm và chạy mã được tải xuống từ máy chủ dưới dạng các mô-đun plugin.
Trong giai đoạn cuối của chuỗi tấn công, tin nhắn iMessage ban đầu và mã khai thác trong tệp đính kèm sẽ đều bị xóa để loại bỏ mọi dấu vết của sự xâm nhập.
Theo Kaspersky, bộ công cụ độc hại không hỗ trợ khả năng duy trì lây nhiễm trên hệ thống nạn nhân, có thể là do hạn chế của hệ điều hành. Dữ liệu thời gian trên nhiều thiết bị cho thấy chúng có thể bị xâm nhập sau khi khởi động lại.
Quy mô và phạm vi chính xác của chiến dịch vẫn chưa rõ. Tuy nhiên, các cuộc tấn công vẫn đang tiếp diễn và hacker đã xâm nhập thành công các thiết bị chạy iOS 15.7.
Hiện tại, Apple chưa đưa ra thêm thông tin nên câu hỏi cuộc tấn công có lạm dụng lỗ hổng zero-day trên iOS hay không vẫn còn bỏ ngỏ.
Công ty Kaspersky đã phát hiện dấu hiệu của sự xâm nhập sau khi tạo bản sao lưu ngoại tuyến của các thiết bị được nhắm mục tiêu. Hãng cho biết: “Các mục tiêu bị lây nhiễm thông qua tấn công zero-click trên nền tảng iMessage. Phần mềm độc hại chạy với quyền root, từ đó giành quyền kiểm soát hoàn toàn thiết bị và dữ liệu người dùng.”
Chuỗi tấn công bắt đầu khi thiết bị iOS nhận được tin nhắn iMessage có tệp đính kèm chứa mã khai thác. Hình thức khai thác này được gọi là zero-click, nghĩa là việc nhận tin nhắn sẽ kích hoạt lỗ hổng mà không cần tương tác từ người dùng để thực thi mã.
Đặc biệt, chuỗi tấn công lần này cũng được cấu hình để truy xuất các payload bổ sung nhằm leo thang đặc quyền và lây nhiễm mã độc từ một máy chủ từ xa. Kaspersky gọi đây là "nền tảng tấn công APT đầy đủ tính năng".
Mã độc trên hoạt động với quyền root, có khả năng thu thập thông tin nhạy cảm và chạy mã được tải xuống từ máy chủ dưới dạng các mô-đun plugin.
Trong giai đoạn cuối của chuỗi tấn công, tin nhắn iMessage ban đầu và mã khai thác trong tệp đính kèm sẽ đều bị xóa để loại bỏ mọi dấu vết của sự xâm nhập.
Theo Kaspersky, bộ công cụ độc hại không hỗ trợ khả năng duy trì lây nhiễm trên hệ thống nạn nhân, có thể là do hạn chế của hệ điều hành. Dữ liệu thời gian trên nhiều thiết bị cho thấy chúng có thể bị xâm nhập sau khi khởi động lại.
Quy mô và phạm vi chính xác của chiến dịch vẫn chưa rõ. Tuy nhiên, các cuộc tấn công vẫn đang tiếp diễn và hacker đã xâm nhập thành công các thiết bị chạy iOS 15.7.
Hiện tại, Apple chưa đưa ra thêm thông tin nên câu hỏi cuộc tấn công có lạm dụng lỗ hổng zero-day trên iOS hay không vẫn còn bỏ ngỏ.
Theo The Hacker News
Chỉnh sửa lần cuối: