Ảnh minh họa. Middle East Monitor

Dù đã bị Mỹ đưa vào danh sách trừng phạt, Intellexa vẫn âm thầm duy trì hoạt động thông qua các công ty bình phong và tiếp tục cung cấp dịch vụ cho khách hàng tại nhiều khu vực. Các chiến dịch gần đây nhất được ghi nhận tại Ả Rập Xê Út, Pakistan, Ai Cập cùng nhiều quốc gia khác.

Khai thác 15 zero-day trên tổng số khoảng 70 lỗ hổng mới phát hiện

Theo Google Cloud, Intellexa duy trì hoạt động bằng cách mua lại các chuỗi khai thác từ bên thứ ba thay vì tự phát triển toàn bộ công cụ. Điều này giúp nhóm này nhanh chóng thích ứng mỗi khi Apple hoặc Google tung bản vá mới.

Những lỗ hổng mà Intellexa sử dụng đều thuộc nhóm nghiêm trọng nhất, gồm các lỗi cho phép thực thi mã từ xa, thoát khỏi môi trường sandbox bảo vệ của trình duyệt và leo thang đặc quyền cục bộ trên thiết bị.

Tất cả các lỗi liên quan hiện đã được các nhà cung cấp phát hành bản vá, nhưng các chiến dịch tấn công vẫn tiếp tục được ghi nhận thông qua các liên kết độc hại được gửi ẩn trong ứng dụng nhắn tin mã hóa.

Phương thức tấn công ba giai đoạn

Một chiến dịch tiêu biểu tại Ai Cập cho thấy Intellexa sử dụng chuỗi tấn công nội bộ mang tên “smack” để cài mã độc Predator lên iPhone. Cuộc tấn công bắt đầu bằng việc khai thác lỗ hổng Safari CVE-2023-41993. Kẻ tấn công sử dụng framework JSKit để đọc và ghi dữ liệu trong bộ nhớ, mở đường cho việc thực thi mã độc từ xa.

Framework này đã xuất hiện trong nhiều chiến dịch từ năm 2021. Phân tích mã cho thấy JSKit được duy trì rất bài bản và hỗ trợ nhiều phiên bản iOS khác nhau.

Sau khi chiếm quyền Safari, giai đoạn tiếp theo là vượt qua lớp sandbox bằng hai lỗ hổng ở nhân hệ điều hành, CVE-2023-41991 và CVE-2023-41992. Hai lỗ hổng này cho phép kẻ tấn công truy cập trực tiếp vào bộ nhớ kernel, từ đó tạo tiền đề cho giai đoạn cuối của chuỗi tấn công.

Giai đoạn ba, mã độc Predator được cài vào thiết bị thông qua hai module chính là helper và watcher. Module watcher có nhiệm vụ giám sát thiết bị và liên tục kiểm tra các dấu hiệu có thể khiến chiến dịch bị lộ, như kích hoạt Developer Mode, kết nối console, sự xuất hiện của các công cụ phân tích từ phần mềm bảo mật như McAfee và Norton đến các công cụ gỡ lỗi như Frida hoặc SSH.

Nếu phát hiện thiết bị thuộc vùng cài đặt Mỹ hoặc Israel, hay nhận thấy bất kỳ dấu hiệu nào cho thấy nguy cơ bị phân tích, đoạn mã độc hại sẽ lập tức dừng hoạt động.

Trong khi đó, module helper là thành phần chịu trách nhiệm thực hiện các chức năng gián điệp. Nó sử dụng các hệ thống hook tùy chỉnh có tên DMHooker và UMHooker để can thiệp vào hoạt động của thiết bị. Module này còn tác động vào SpringBoard - giao diện hệ thống của iOS nhằm ẩn các thông báo bất thường, giúp Predator duy trì hoạt động mà người dùng không hay biết.

An Lâm (Theo Cyber Security News)