Mới đây, một chuỗi khai thác zero-day iOS mới đã được phát hiện, có liên quan đến phần mềm gián điệp đánh thuê được dùng để giám sát thiết bị một cách lặng lẽ đối với những người dùng có rủi ro cao. Chiến dịch này được cho là do nhà cung cấp giám sát thương mại Intellexa thực hiện. Nó xâu chuỗi nhiều lỗ hổng chưa từng được biết đến trước đây để triển khai hoàn toàn phần mềm gián điệp trên các iPhone mục tiêu, chỉ từ một cú nhấp chuột vào liên kết trong Safari.

Chiến dịch đã được quan sát thấy nhắm vào các mục tiêu trong xã hội dân sự và chính trị, nhấn mạnh cách các nhà cung cấp phần mềm gián điệp với nguồn tài trợ tốt tiếp tục vũ khí hóa các lỗi trình duyệt và nhân hệ điều hành để theo dõi bí mật, kéo dài.

Khai thác Zero-Day iOS: Chiến Dịch Gián Điệp Mục tiêu Người Dùng Cao Cấp

Giai đoạn Khởi đầu: Liên kết Độc hại và Lỗ hổng RCE

Cuộc tấn công bắt đầu bằng một liên kết độc hại chỉ dùng một lần, thường được gửi qua các ứng dụng nhắn tin được mã hóa. Khi mục tiêu mở liên kết này trong trình duyệt Safari, trình duyệt sẽ tải một mã khai thác kích hoạt lỗ hổng thực thi mã từ xa (RCE) sau đó được vá lỗi với mã định danh CVE-2023-41993. Thông tin chi tiết về lỗ hổng này có thể được tìm thấy trên NVD.

Giai đoạn đầu tiên này sử dụng một framework khai thác chung có tên JSKit để giành quyền đọc và ghi tùy ý trong trình kết xuất Safari, sau đó chuyển sang thực thi mã gốc trên các bản dựng iOS hiện đại.

Framework tương tự đã được các nhà cung cấp giám sát khác và các tác nhân được tài trợ từ năm 2021 tái sử dụng, cho thấy một thị trường tích cực cho các thành phần khai thác có thể tái sử dụng. Các nhà nghiên cứu bảo mật của Google Cloud đã xác định chuỗi khai thác hoàn chỉnh trong thực tế trên các thiết bị ở Ai Cập, xác nhận rằng khai thác này được Intellexa đặt tên mã nội bộ là “smack” và được sử dụng để triển khai họ phần mềm gián điệp Predator.

Giai đoạn Tiếp theo: Vượt Sandbox và Leo Thang Đặc Quyền

Khi trình duyệt bị xâm phạm, chuỗi tấn công chuyển sang giai đoạn thứ hai mạnh mẽ hơn. Giai đoạn này thoát khỏi sandbox của Safari và leo thang đặc quyền bằng cách sử dụng các lỗ hổng CVE trong nhân hệ điều hành, cụ thể là CVE-2023-41991 và CVE-2023-41992.

Giai đoạn này cho phép đọc và ghi bộ nhớ nhân cho một payload ở giai đoạn thứ ba, được theo dõi với tên gọi PREYHUNTER. Sự kết hợp của các lỗ hổng CVE này cho phép kẻ tấn công kiểm soát sâu vào hệ thống.

Payload PREYHUNTER: Giám sát Tàng hình và Tránh Phát hiện

Chức năng của Module PREYHUNTER

PREYHUNTER bao gồm các module “helper” và “watcher”. Các module này có nhiệm vụ xác minh thiết bị nạn nhân, tránh phân tích và thực hiện giám sát sớm như ghi âm VoIP, ghi nhật ký gõ phím (keylogging) và chụp ảnh từ camera, đồng thời ẩn thông báo từ người dùng.

Module PREYHUNTER helper giao tiếp với các thành phần khác thông qua một Unix socket tại /tmp/helper.sock. Sau đó, nó cài đặt các hook thông qua các framework nội bộ có tên DMHooker và UMHooker.

Các hook này gắn vào các đường dẫn và dịch vụ nhạy cảm, cho phép ghi âm thanh, ghi nhật ký đầu vào và kiểm tra bí mật trước khi một implant Predator hoàn chỉnh được thả xuống. Chuỗi khai thác zero-day này thể hiện mức độ tinh vi cao.

Cấu hình Socket Đơn giản

Một cái nhìn đơn giản về thiết lập socket của nó như sau:

- /tmp/helper.sock (Unix socket for inter-module communication)

Cơ chế Né tránh Phát hiện

Module watcher liên tục quét các dấu hiệu nghiên cứu hoặc gỡ lỗi, bao gồm chế độ nhà phát triển, các công cụ jailbreak như frida hoặc checkra1n, các ứng dụng bảo mật như McAfee hoặc AvastMobileSecurity, các chứng chỉ gốc (root CA) tùy chỉnh và các proxy HTTP.

Nếu bất kỳ dấu hiệu nào trong số này xuất hiện, chuỗi khai thác zero-day sẽ dừng lại để giảm dấu vết pháp y. Việc dàn dựng cẩn thận này, kết hợp với quyền truy cập cấp nhân, cho thấy một hệ sinh thái trưởng thành. Trong đó, các nhà phát triển khai thác, môi giới và nhà điều hành phần mềm gián điệp hợp tác để giữ cho các chiến dịch giám sát iOS được tàng hình và bền bỉ. Mã độc spyware này đặc biệt nguy hiểm do khả năng lẩn tránh.

Các Chỉ Số Kỹ Thuật Chính (Technical Indicators)

Dưới đây là các chỉ số kỹ thuật liên quan đến chuỗi khai thác zero-day này:

• Tên mã nội bộ của khai thác Intellexa:smack
• Họ phần mềm gián điệp:Predator
• Payload giai đoạn 3:PREYHUNTER
• Unix socket để giao tiếp module:/tmp/helper.sock
• Framework hook nội bộ:DMHooker, UMHooker
• Lỗ hổng thực thi mã từ xa (RCE) trong Safari:CVE-2023-41993
• Lỗ hổng leo thang đặc quyền nhân (Kernel Privilege Escalation):CVE-2023-41991, CVE-2023-41992