ส.ก.ป.
จากรายงานเกี่ยวกับแคมเปญ Operation Triangulation ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผู้เชี่ยวชาญของ Kaspersky ได้เปิดเผยรายละเอียดของสปายแวร์ที่ใช้ในการโจมตีครั้งนี้
 |
| มัลแวร์ TriangleDB โจมตีอุปกรณ์ iOS |
เมื่อไม่นานมานี้ Kaspersky ได้รายงานเกี่ยวกับแคมเปญ APT (Advanced Persistent Threat) บนอุปกรณ์พกพาใหม่ที่กำหนดเป้าหมายไปที่อุปกรณ์ iOS ผ่านทาง iMessage หลังจากการตรวจสอบเป็นเวลา 6 เดือน นักวิจัยของ Kaspersky ได้เผยแพร่การวิเคราะห์เชิงลึกเกี่ยวกับห่วงโซ่ช่องโหว่และ ผลการค้นพบ โดยละเอียดเกี่ยวกับการติดเชื้อสปายแวร์
มัลแวร์ที่เรียกว่า TriangleDB ถูกใช้โดยใช้ประโยชน์จากช่องโหว่ที่ทำให้สามารถเข้าถึงรูทบนอุปกรณ์ iOS ได้ เมื่อเปิดใช้งานแล้ว มัลแวร์จะทำงานเฉพาะในหน่วยความจำของอุปกรณ์เท่านั้น ดังนั้นร่องรอยของการติดเชื้อจะหายไปเมื่ออุปกรณ์รีบูต ดังนั้น หากเหยื่อรีบูตอุปกรณ์ ผู้โจมตีจะต้องติดเชื้ออุปกรณ์อีกครั้งโดยส่ง iMessage อีกครั้งพร้อมไฟล์แนบที่เป็นอันตราย เพื่อเริ่มกระบวนการโจมตีทั้งหมดใหม่อีกครั้ง
หากไม่รีบูตอุปกรณ์ ซอฟต์แวร์จะถอนการติดตั้งโดยอัตโนมัติหลังจาก 30 วัน เว้นแต่ผู้โจมตีจะขยายระยะเวลาออกไป TriangleDB ทำหน้าที่เป็นสปายแวร์ที่ซับซ้อน โดยทำหน้าที่รวบรวมและตรวจสอบข้อมูลต่างๆ
ซอฟต์แวร์ประกอบด้วยคำสั่ง 24 คำสั่งที่มีฟังก์ชันหลากหลาย คำสั่งเหล่านี้มีวัตถุประสงค์ต่างๆ เช่น การโต้ตอบกับระบบไฟล์ของอุปกรณ์ (รวมถึงการสร้าง การแก้ไข การแตกไฟล์ และการลบไฟล์) การจัดการกระบวนการ (การแสดงรายการและการยุติ) การแตกสตริงเพื่อรวบรวมข้อมูลประจำตัวของเหยื่อ และการตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ
ขณะวิเคราะห์ TriangleDB ผู้เชี่ยวชาญของ Kaspersky ค้นพบว่าคลาส CRConfig มีวิธีการที่ไม่ได้ใช้ที่เรียกว่า populateWithFieldsMacOSOnly แม้ว่าจะไม่ได้ใช้ในการติดเชื้อ iOS แต่การมีอยู่ของคลาสนี้ชี้ให้เห็นถึงความเป็นไปได้ที่จะกำหนดเป้าหมายไปที่อุปกรณ์ macOS
Kaspersky ขอแนะนำให้ผู้ใช้ใช้มาตรการต่อไปนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมาย: สำหรับการป้องกันจุดสิ้นสุด การสืบสวน และการตอบสนอง ให้ใช้โซลูชันความปลอดภัยขององค์กรที่เชื่อถือได้ เช่น Kaspersky Unified Monitoring and Analysis Platform (KUMA) อัปเดตระบบปฏิบัติการ Microsoft Windows และซอฟต์แวร์ของบริษัทภายนอกโดยเร็วที่สุดและเป็นประจำ มอบสิทธิ์เข้าถึง Threat Intelligence (TI) ล่าสุดให้กับทีม SOC Kaspersky Threat Intelligence คือแหล่งข้อมูลการเข้าถึงที่ง่ายดายสำหรับ TI ขององค์กร ซึ่งให้ข้อมูลและข้อมูลเชิงลึกเกี่ยวกับการโจมตีทางไซเบอร์จาก Kaspersky กว่า 20 ปี จัดเตรียมทีมงานด้านความปลอดภัยทางไซเบอร์เพื่อรับมือกับภัยคุกคามแบบกำหนดเป้าหมายล่าสุดด้วยหลักสูตรการฝึกอบรมออนไลน์ของ Kaspersky ที่พัฒนาโดยผู้เชี่ยวชาญที่ GreAT เนื่องจากการโจมตีแบบกำหนดเป้าหมายจำนวนมากเริ่มต้นด้วยการฟิชชิ่งหรือกลวิธีทางวิศวกรรมสังคม จึงควรจัดให้มีการฝึกอบรมความตระหนักด้านความปลอดภัยและการฝึกอบรมทักษะแก่พนักงานในบริษัทของคุณ เช่น Kaspersky Automated Security Awareness Platform…
Georgy Kucherin ผู้เชี่ยวชาญด้านความปลอดภัยจากทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky กล่าวว่า “เมื่อเราเจาะลึกลงไปถึงการโจมตีนี้ เราก็พบว่าการติดเชื้อ iOS ที่ซับซ้อนนี้มีคุณสมบัติแปลกๆ หลายอย่าง เรากำลังดำเนินการวิเคราะห์แคมเปญนี้ต่อไป และจะคอยอัปเดตให้ทุกคนทราบเมื่อเราเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีที่ซับซ้อนนี้ เราขอเรียกร้องให้ชุมชนความปลอดภัยทางไซเบอร์แบ่งปันความรู้และร่วมมือกันเพื่อให้ได้ภาพที่ชัดเจนยิ่งขึ้นเกี่ยวกับภัยคุกคามต่างๆ ที่เกิดขึ้น”
แหล่งที่มา
การแสดงความคิดเห็น (0)