Một thông tin quan trọng trong báo cáo là việc phơi bày chiến dịch “Operation Triangulation” liên quan đến việc sử dụng phần mềm độc hại iOS chưa từng được biết đến trước đây. Những điểm nổi bật khác trong báo cáo bao gồm:
Khu vực châu Á – Thái Bình Dương chứng kiến tác nhân đe dọa mới có tên Mysterious Elephant
Kaspersky đã phát hiện ra một tác nhân đe dọa mới thuộc nhóm Elephant, hoạt động ở khu vực châu Á – Thái Bình Dương, với tên gọi Mysterious Elephant. Trong chiến dịch mới nhất, nhóm này đã sử dụng các cửa hậu mới, có khả năng thực thi các tệp và lệnh trên máy tính của nạn nhân, đồng thời nhận các tệp hoặc lệnh từ một máy chủ độc hại để thực thi trên hệ thống bị nhiễm.
Mặc dù các nhà nghiên cứu của Kaspersky đã quan sát thấy sự trùng lặp với Confucius và SideWinder, nhưng Mysterious Elephant sở hữu một bộ TTP đặc biệt và duy nhất, khiến chúng khác biệt với các nhóm khác.
Bộ công cụ được nâng cấp: Lazarus phát triển biến thể phần mềm độc hại mới, BlueNoroff tấn công macOS
Các tác nhân đe dọa không ngừng cải tiến kỹ thuật của chúng, với việc Lazarus nâng cấp khung MATA và giới thiệu một biến thể mới của họ phần mềm độc hại MATA tinh vi, MATAv5. BlueNoroff, một phân nhóm tập trung vào tấn công tài chính của Lazarus, hiện sử dụng các phương pháp phân phối và ngôn ngữ lập trình mới, bao gồm cả việc sử dụng trình đọc PDF bị Trojan hóa trong các chiến dịch gần đây, triển khai phần mềm độc hại macOS và ngôn ngữ lập trình Rust.
Ngoài ra, nhóm ScarCruft APT đã phát triển các phương thức lây nhiễm mới, trốn tránh cơ chế bảo mật Mark-of-the-Web (MOTW). Các chiến thuật không ngừng phát triển của những tác nhân đe dọa này đặt ra những thách thức mới cho các chuyên gia an ninh mạng.
Địa chính trị đóng vai trò quan trọng trong hoạt động APT
Các chiến dịch APT vẫn phân tán về mặt địa lý, với các tác nhân đe dọa tập trung tấn công vào các khu vực như châu Âu, châu Mỹ Latinh, Trung Đông và nhiều khu vực khác nhau của châu Á. Hoạt động gián điệp mạng, với bối cảnh địa chính trị, tiếp tục là yếu tố chi phối những hoạt động này.
“Trong khi một số tác nhân đe dọa sử dụng các chiến thuật quen thuộc như kỹ thuật xã hội, thì những kẻ khác đã phát triển, làm mới bộ công cụ và mở rộng hoạt động của chúng. Hơn nữa, những tác nhân mới, chẳng hạn như những kẻ đứng sau chiến dịch Operation Triangulation, liên tục xuất hiện. Luôn cập nhật thông tin thám báo về mối đe dọa và các công cụ phòng thủ phù hợp là rất quan trọng đối với các công ty toàn cầu, để có thể tự bảo vệ mình trước các mối đe dọa hiện có và mới nổi. Các đánh giá hàng quý của chúng tôi được thiết kế để làm nổi bật những bước phát triển quan trọng nhất giữa các nhóm APT nhằm giúp các bên có thể bảo vệ và giảm thiểu rủi ro liên quan”, David Emm, nhà nghiên cứu bảo mật chính tại Nhóm Nghiên cứu và Phân tích toàn cầu của Kaspersky (GReAT) nhận xét.
Trước đó vào tháng 6 vừa qua Kaspersky đã báo cáo về chiến dịch APT (Advanced Persistent Threat) di động mới nhắm mục tiêu đến các thiết bị iOS thông qua iMessage. Sau cuộc điều tra kéo dài sáu tháng, các nhà nghiên cứu Kaspersky đã công bố một bản phân tích chuyên sâu về chuỗi khai thác và khám phá chi tiết về hoạt động lây nhiễm bằng phần mềm gián điệp.
Phần mềm này có tên là TriangleDB, được triển khai bằng cách khai thác lỗ hổng để giành quyền root trên thiết bị iOS. Sau khi được khởi chạy, nó chỉ hoạt động trong bộ nhớ của thiết bị, do đó dấu vết lây nhiễm sẽ biến mất khi thiết bị khởi động lại. Vì vậy, nếu nạn nhân khởi động lại thiết bị, kẻ tấn công cần phải tái lây nhiễm thiết bị bằng cách gửi một iMessage khác có tệp đính kèm độc hại, bắt đầu lại toàn bộ quá trình khai thác.
Nếu thiết bị không khởi động lại, phần mềm sẽ tự động gỡ cài đặt sau 30 ngày, trừ khi những kẻ tấn công kéo dài thời gian này. Hoạt động như một phần mềm gián điệp phức tạp, TriangleDB thực hiện nhiều khả năng thu thập và giám sát dữ liệu.
Phần mềm bao gồm 24 lệnh với các chức năng đa dạng. Các lệnh này phục vụ nhiều mục đích khác nhau, chẳng hạn như tương tác với hệ thống tệp của thiết bị (bao gồm tạo tệp, sửa đổi, trích xuất và xóa), quản lý các quy trình (liệt kê và chấm dứt), trích xuất các chuỗi để thu thập thông tin đăng nhập của nạn nhân và giám sát vị trí địa lý của nạn nhân.
Trong khi phân tích TriangleDB, các chuyên gia của Kaspersky đã phát hiện ra rằng lớp CRConfig chứa một phương thức không được sử dụng có tên là popatedWithFieldsMacOSOnly. Mặc dù không được sử dụng trong phần mềm lây nhiễm iOS, nhưng sự hiện diện của nó cho thấy khả năng nhắm mục tiêu các thiết bị macOS.
Georgy Kucherin, Chuyên gia bảo mật tại Nhóm Phân tích và Nghiên cứu Toàn cầu, Kaspersky cho biết: “Khi đào sâu vào cuộc tấn công, chúng tôi đã phát hiện ra phần mềm lây nhiễm iOS tinh vi này có nhiều điểm kỳ lạ. Chúng tôi tiếp tục phân tích chiến dịch và sẽ cập nhật cho mọi người những thông tin sâu hơn về cuộc tấn công tinh vi này. Chúng tôi kêu gọi cộng đồng an ninh mạng cùng chung tay chia sẻ kiến thức và cộng tác để có được bức tranh rõ ràng hơn về các mối đe dọa ngoài kia”.
