Theo Kaspersky, phần mềm độc hại TriangleDB được sử dụng để nhắm mục tiêu vào các thiết bị Apple iOS chứa ít nhất bốn module khác nhau để thực hiện các hành động như: ghi âm micrô, trích xuất chuỗi khóa iCloud, đánh cắp dữ liệu từ cơ sở dữ liệu SQLite được nhiều ứng dụng khác nhau sử dụng và ước tính vị trí của nạn nhân.

Cuộc tấn công đầu tiên trong chiến dịch được phát hiện vào tháng 6/2023, khi các thiết bị iOS trở thành mục tiêu của một cuộc tấn công zero-click với mục đích nhắm vào các nhà ngoại giao và quan chức chính phủ, vũ khí hóa các lỗi bảo mật zero-day (CVE-2023-32434 và CVE-2023-32435) lợi dụng nền tảng iMessage để phân phối tệp đính kèm độc hại có thể giành quyền kiểm soát hoàn toàn đối với dữ liệu người dùng và thiết bị.

Quy mô và danh tính của nhóm tin tặc thực hiện tấn công vẫn chưa được xác định, mặc dù bản thân Kaspersky đã trở thành một trong những mục tiêu của chúng.

Hệ quả của các cuộc tấn công trong chiến dịch này là hình thành một backdoor có tên TriangleDB được triển khai sau khi kẻ tấn công giành được quyền root trên thiết bị iOS mục tiêu bằng cách khai thác lỗ hổng CVE-2023-32434, một lỗ hổng kernel có thể lạm dụng để thực thi mã tùy ý.

Hiện tại, theo công ty an ninh mạng Kaspersky, việc triển khai TriangleDB được bắt đầu bằng hai giai đoạn xác thực, đó là trình xác thực JavaScipt và trình xác thực nhị phân, được thực thi để xác định xem thiết bị mục tiêu có được liên kết với môi trường nghiên cứu hay không.

Các nhà nghiên cứu Georgy Kucherin, Leonid Bezvershenko và Valentin Pashkov của Kaspersky cho biết trong một báo cáo kỹ thuật được công bố vào ngày 23/10 vừa qua rằng: “Những trình xác thực này thu thập nhiều thông tin khác nhau về thiết bị nạn nhân và gửi nó đến máy chủ điều khiển từ xa”.

Thông tin này sau đó được sử dụng để đánh giá xem iPhone hoặc iPad được nhúng TriangleDB có thể là thiết bị nghiên cứu hay không. Bằng cách thực hiện các kiểm tra như vậy, kẻ tấn công có thể đảm bảo rằng các hoạt động khai thác zero-day và phần mềm độc hại của chúng không bị phá hủy.

Về cách thức hoạt động, điểm bắt đầu của chuỗi tấn công là một tệp đính kèm iMessage vô hình mà nạn nhân nhận được, chúng sẽ kích hoạt chuỗi khai thác không cần nhấp chuột được thiết kế để lén lút mở một URL duy nhất chứa mã JavaScript bị xáo trộn của thư viện mật mã NaCl cũng như một payload được mã hóa.

Thông tin được thu thập sẽ được truyền đến một máy chủ từ xa để nhận lại một phần mềm độc hại giai đoạn tiếp theo không xác định. Chúng được phân phối sau một loạt các bước như trình xác thực nhị phân, tệp nhị phân Mach-O, cụ thể như sau:

• Xóa nhật ký sự cố khỏi thư mục /private/var/mobile/Library/Logs/CrashReporter để xóa dấu vết khai thác có thể xảy ra.
• Xóa bằng chứng về tệp đính kèm iMessage độc ​​hại được gửi từ 36 địa chỉ email, bao gồm nền tảng Gmail, Outlook và Yahoo khác nhau do kẻ tấn công kiểm soát.
• Lấy danh sách các tiến trình đang chạy trên thiết bị và giao diện mạng.
• Kiểm tra xem thiết bị mục tiêu đã được jailbreak chưa.
• Bật theo dõi quảng cáo được cá nhân hóa.
• Thu thập thông tin về thiết bị (tên người dùng, số điện thoại, IMEI, ID Apple) và truy xuất danh sách các ứng dụng đã cài đặt.

Các nhà nghiên cứu cho biết: “Điều thú vị về những hành động này là trình xác thực triển khai chúng cho cả hệ thống iOS và macOS”, đồng thời cho biết thêm kết quả của các hành động nói trên được mã hóa và chuyển sang máy chủ điều khiển trừ xa để tìm nạp phần mềm độc hại TriangleDB. Một trong những bước đầu tiên mà backdoor này thực hiện là thiết lập liên lạc với máy chủ điều khiển từ xa, sau đó nhận các lệnh xóa nhật ký sự cố và các tệp cơ sở dữ liệu để che giấu hành vi và cản trở quá trình phân tích.

Phần mềm độc hại cũng được cung cấp hướng dẫn để lọc định kỳ các tệp từ thư mục /private/var/tmp có chứa vị trí, chuỗi khóa iCloud, dữ liệu liên quan đến SQL và dữ liệu được ghi từ micrô. Một tính năng đáng chú ý của module này là khả năng tạm dừng ghi âm khi màn hình thiết bị được bật và nếu pin được sạc dưới 10%.

Thêm vào đó, module giám sát vị trí được bố trí để sử dụng dữ liệu GSM, chẳng hạn như mã quốc gia di động, mã mạng di động và mã vùng vị trí, để sắp xếp vị trí của nạn nhân khi không có dữ liệu GPS.