Công ty phần mềm gián điệp thương mại Intellexa đã khai thác 15 lỗ hổng zero-day kể từ năm 2021 nhằm nhắm mục tiêu vào người dùng iOS và Android trên toàn cầu. Các hoạt động của công ty này, nổi tiếng với việc phát triển mã độc spyware Predator, vẫn tiếp diễn bất chấp các lệnh trừng phạt từ chính phủ Mỹ.

Các mối đe dọa từ Intellexa vẫn đang hoạt động mạnh mẽ tại nhiều quốc gia, với các cuộc tấn công gần đây được phát hiện ở Ả Rập Saudi, Pakistan, Ai Cập và các khu vực khác. Intellexa hiện là một trong những công ty phần mềm gián điệp tích cực nhất trong việc khai thác zero-day vulnerability trên các trình duyệt di động.

Intellexa và Khai Thác Lỗ Hổng Zero-Day

Các cuộc tấn công của Intellexa nhắm vào cả thiết bị iOS và Android thông qua các liên kết ẩn được gửi qua các ứng dụng nhắn tin được mã hóa. Trong số khoảng 70 lỗ hổng zero-day được phát hiện từ năm 2021, Intellexa chịu trách nhiệm cho 15 khai thác độc nhất.

Những lỗ hổng này bao gồm Remote Code Execution (Thực thi mã từ xa), Sandbox Escape (Thoát khỏi môi trường Sandbox), và Local Privilege Escalation (Nâng cao đặc quyền cục bộ). Tất cả các nhà cung cấp bị ảnh hưởng đã phát hành các bản vá cho những lỗ hổng bảo mật này.

Chiến Thuật Khai Thác Đa Dạng

Các nhà nghiên cứu bảo mật của Google Cloud đã xác định các hoạt động tiếp diễn của Intellexa thông qua phân tích mối đe dọa chuyên sâu. Nghiên cứu này tiết lộ rằng Intellexa mua các chuỗi khai thác từ các nguồn bên ngoài thay vì tự phát triển tất cả các công cụ.

Cách tiếp cận này cho phép công ty nhanh chóng thích nghi khi các bản vá bảo mật được phát hành. Intellexa hoạt động thông qua các tổ chức bình phong để tránh bị phát hiện và tiếp tục phục vụ khách hàng trên toàn thế giới bất chấp các lệnh trừng phạt quốc tế.

Chi Tiết Kỹ Thuật Chuỗi Tấn Công Mã Độc Spyware Predator

Mã độc spyware Predator sử dụng quy trình tấn công ba giai đoạn để xâm nhập thiết bị. Trong một trường hợp được ghi nhận từ Ai Cập, Intellexa đã triển khai một chuỗi khai thác nội bộ được đặt tên là “smack” để cài đặt Predator spyware trên các thiết bị iOS.

Giai Đoạn 1: Khai Thác Trình Duyệt Safari

Cuộc tấn công bắt đầu với một lỗ hổng zero-day trong trình duyệt Safari được theo dõi là CVE-2023-41993. Khai thác này sử dụng một framework có tên JSKit để đạt được quyền đọc và ghi bộ nhớ.

Framework này đã xuất hiện trong nhiều chiến dịch tấn công từ năm 2021, bao gồm các cuộc tấn công của những nhóm có sự hậu thuẫn lớn. Phân tích mã nguồn cho thấy framework này được duy trì tốt và hỗ trợ nhiều phiên bản iOS khác nhau. Thông tin chi tiết về CVE-2023-41993 có thể tham khảo tại NVD – CVE-2023-41993.

Giai Đoạn 2: Vượt Qua Sandbox và Nâng Cao Đặc Quyền

Giai đoạn thứ hai nhằm mục đích thoát khỏi Safari sandbox bằng cách sử dụng các lỗ hổng nhân (kernel vulnerabilities) CVE-2023-41991 và CVE-2023-41992. Giai đoạn này cung cấp quyền truy cập bộ nhớ nhân cho tải trọng ở giai đoạn thứ ba.

Các lỗ hổng này cho phép mã độc spyware truy cập sâu hơn vào hệ thống. Các nhà nghiên cứu bảo mật của Google Cloud đã cung cấp phân tích sâu sắc về các hoạt động của Intellexa, chi tiết hơn có tại: Intellexa zero-day exploits continue – Google Cloud Blog.

Giai Đoạn 3: Tải Trọng và Chức Năng Spyware

Giai đoạn cuối cùng bao gồm hai mô-đun chính được gọi là helper và watcher.

• Watcher module: Giám sát thiết bị bị nhiễm để tìm kiếm hoạt động đáng ngờ. Nó kiểm tra chế độ nhà phát triển (developer mode), tệp đính kèm bảng điều khiển (console attachments), công cụ bảo mật và cấu hình mạng tùy chỉnh. Nếu phát hiện các cài đặt khu vực như Mỹ hoặc Israel, các ứng dụng bảo mật như McAfee hoặc Norton, hoặc các công cụ gỡ lỗi như Frida hoặc SSH, nó sẽ tự động chấm dứt cuộc tấn công.

Chức Năng Chính của Helper Module và Chỉ Số IOC

Mô-đun helper cung cấp các chức năng phần mềm gián điệp cơ bản thông qua các framework hooking tùy chỉnh được đặt tên là DMHooker và UMHooker. Các framework này cho phép thực hiện các hành động sau:

• Ghi âm cuộc gọi thoại, được lưu trữ dưới dạng:

/private/var/tmp/l/voip_%lu_%u_PART.m4a

• Chụp lại các lần gõ phím (keystrokes).
• Chụp ảnh từ camera.

Mô-đun này cũng hook vào SpringBoard để ẩn các thông báo từ những hành động này, đảm bảo hoạt động của mã độc spyware diễn ra bí mật. Các tạo phẩm biên dịch (compilation artifacts) cho thấy đường dẫn xây dựng là:

/Users/gitlab_ci_2/builds/jbSFKQv5/0/roe/ios16.5-smackjs8-production/

Điều này xác nhận các tên theo dõi nội bộ của Intellexa và cung cấp thêm các chỉ số thỏa hiệp (IOCs) quan trọng cho việc phân tích.

Các Biện Pháp Phòng Ngừa và Cập Nhật Bản Vá

Việc phát hiện và phân tích các lỗ hổng zero-day bị khai thác bởi Intellexa nhấn mạnh tầm quan trọng của việc duy trì hệ thống bảo mật cập nhật. Người dùng và tổ chức cần chú ý đến các cảnh báo bảo mật từ các nhà cung cấp thiết bị và hệ điều hành.

Để giảm thiểu rủi ro từ các lỗ hổng zero-day và mã độc spyware, việc áp dụng kịp thời các bản vá bảo mật là vô cùng cần thiết. Thường xuyên kiểm tra và thực hiện cập nhật bản vá giúp bảo vệ thiết bị khỏi các khai thác đã biết và các biến thể mã độc mới.