Ảnh minh họa. Nguồn Kaspersky.

Đội ngũ Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky vừa công bố kết quả phân tích chuyên sâu đối với các mã khai thác của Coruna, qua đó xác định bộ mã này thực chất là phiên bản cập nhật trực tiếp từ khung phần mềm từng được sử dụng, ít nhất một phần, trong chiến dịch Operation Triangulation. Theo Kaspersky, các mã khai thác Triangulation và Coruna nhắm vào lỗ hổng bảo mật trong nhân hệ điều hành nhiều khả năng do cùng một tác giả phát triển.

Kết quả phân tích cho thấy, một trong năm mã khai thác lỗ hổng trong nhân hệ điều hành thuộc Coruna chính là phiên bản cập nhật của mã mà Kaspersky từng phát hiện trong chiến dịch Operation Triangulation năm 2023. Bốn mã còn lại, trong đó có hai mã được phát triển sau khi chiến dịch Triangulation bị phanh phui, đều được xây dựng trên cùng một khung.

Theo Kaspersky, sự tương đồng không chỉ xuất hiện ở các mã khai thác nhân mà còn thể hiện ở những thành phần khác của Coruna. Điều này cho thấy Coruna không phải là tập hợp các mảnh ghép rời rạc, mà là một phiên bản tiến hóa được duy trì và nâng cấp liên tục từ khung gốc.

Coruna lộ dấu vết kế thừa trực tiếp từ Triangulation

Kaspersky cho biết mã khai thác này có thể chạy trên các thiết bị sử dụng bộ vi xử lý A17, M3, M3 Pro và M3 Max của Apple, cũng như các phiên bản iOS tới 17.2. Đáng chú ý, mã này còn tích hợp một lệnh kiểm tra riêng biệt dành cho iOS 16.5 beta 4, phiên bản Apple từng phát hành để vá các lỗ hổng mà Kaspersky nêu trong báo cáo trước đó.

Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT của Kaspersky, cho biết ở thời điểm Coruna mới được công bố, những bằng chứng hiện có chưa đủ để kết luận mã khai thác này liên quan tới Triangulation. Tuy nhiên, sau khi trực tiếp phân tích các tệp nhị phân, nhóm nghiên cứu xác định Coruna không đơn thuần là tập hợp mã khai thác công khai, mà là phiên bản tiến hóa từ khung gốc của Operation Triangulation.

Theo ông Boris Larin, việc xuất hiện các cơ chế nhận diện bộ vi xử lý đời mới như M3 cùng các phiên bản iOS gần đây cho thấy những kẻ phát triển ban đầu đang tiếp tục mở rộng kho mã khai thác để duy trì năng lực tấn công. Nếu trước đây đây là công cụ gián điệp tinh vi được thiết kế để nhắm chính xác vào mục tiêu cụ thể, thì nay Coruna đang được sử dụng để tấn công diện rộng.

Khuyến nghị cập nhật iOS ngay để giảm rủi ro bị tấn công

Trước nguy cơ này, Kaspersky khuyến nghị người dùng iPhone cập nhật iOS lên phiên bản mới nhất ngay lập tức. Hãng cho biết các lỗ hổng bị Coruna khai thác đã được Apple vá lỗi, song những thiết bị chưa cài đặt bản vá vẫn đối mặt với nguy cơ bị tấn công.

Bản phân tích kỹ thuật chi tiết về Coruna hiện đã được đăng tải trên Securelist.com, theo thông tin từ Kaspersky.

Operation Triangulation là chiến dịch tấn công có chủ đích quy mô lớn nhắm vào các thiết bị iOS, được công bố lần đầu vào tháng 6/2023. Kaspersky cho biết đã phát hiện chiến dịch này trong quá trình giám sát lưu lượng mạng Wi-Fi nội bộ, khi các tác nhân đe dọa nhắm mục tiêu vào thiết bị iOS của hàng chục nhân viên công ty. Từ đó, các chuyên gia xác định được bốn lỗ hổng zero-day bị khai thác, ảnh hưởng tới nhiều sản phẩm của Apple.

Đối với doanh nghiệp, Kaspersky khuyến nghị triển khai hệ thống giám sát tập trung trên toàn bộ hạ tầng, cập nhật định kỳ hệ điều hành, ứng dụng và phần mềm bảo mật để vá các lỗ hổng đã công bố, đồng thời tăng cường năng lực giám sát, ứng phó sự cố và đào tạo đội ngũ an ninh mạng trước các cuộc tấn công có chủ đích.

Thu Uyên