Kaspersky เปิดตัวช่วยตรวจจับมัลแวร์ของปฏิบัติการ Triangulation

หลังจากที่มีรายงานเกี่ยวกับแคมเปญ Operation Triangulation ที่มีเป้าหมายไปที่อุปกรณ์ iOS ออกมาแล้วนั้น นักวิจัยของแคสเปอร์สกี้ (Kaspersky) ก็ ได้ปล่อยทูลพิเศษชื่อ ‘triangle_check’ ซึ่งสามารถช่วยค้นหาการติดเชื้อมัลแวร์ได้อัตโนมัติ  สามารถใช้งานบนระบบปฏิบัติการ macOS, Windows, และ Linux  เปิดให้แชร์มาใช้งานแบบสาธารณะได้แล้ววันนี้จาก GitHub

เมื่อวันที่ 1 มิถุนายน พ.ศ. 2566 แคสเปอร์สกี้ออกรายงานเรื่อง mobile APT ตัวใหม่ที่จ้องเล่นงานอุปกรณ์ iOS เคมเปญนี้อาศัยช่องโหว่แบบ zero-click ที่ส่งผ่าน iMessage เพื่อติดตั้งมัลแวร์และเข้าควบคุมทั้งอุปกรณ์และข้อมูลของผู้ใช้ เพื่อซุ่มซ่อนสอดแนมความเคลื่อนไหวต่างๆ ของผู้ใช้โดยไม่รู้ตัว และหนึ่งในผู้ที่ตกเป็นเหยื่อก็เป็นพนักงานของแคสเปอร์สกี้เอง โดยนักวิจัยของบริษัทเชื่อว่าขอบเขตของการโจมตีนั้นน่าจะไกลเกินกว่าองค์กรแน่นอน ซึ่งทางทีมนักวิจัยของแคสเปอร์สกี้ก็ยังคงการสืบสวนเรื่องนี้อย่างต่อเนื่อง เพื่อรายละเอียดที่กระจ่างชัดเจนยิ่งขึ้นเกี่ยวกับการแพร่กระจายไปทั่วโลกของสปายแวร์ตัวนี้

รายงานเบื้องต้นนั้นมีคำอธิบายอย่างละเอียดสำหรับกลไกการตรวจสอบระบบหาร่องรอยที่อาจเป็นจุดโหว่ด้วยทูล MVT ด้วยแล้ว และวันนี้ ทางแคสเปอร์สกี้ก็ได้เปิดสาธารณะให้ใช้เครื่องมือพิเศษที่ชื่อว่า ‘triangle_check’ บน GitHub กันได้แล้ว สามารถใช้บนระบบปฏิบัติการ macOS, Windows, และ Linux ได้ดีด้วยภาษา Python ช่วยให้ผู้ใช้สามารถค้นหาร่องรอยของการติดเชื้อมัลแวร์ได้อัตโนมัติ และยังตรวจสอบได้ด้วยว่าอุปกรณ์ติดเชื้อหรือไม่

ก่อนที่ผู้ใช้จะติดตั้งเครื่องมือนี้ ควรทำการสำรองข้อมูลบนอุปกรณ์เสียก่อน หลังจากสร้างสำเนาข้อมูลสำรองแล้ว ผู้ใช้สามารถติดตั้งและเรียกใช้เครื่องมือได้ หากพบตัวบ่งชี้ของร่องรอยการติดเชื้อหรือสอดแนม ทูลจะแสดงการแจ้งเตือน “DETECTED” เพื่อยืนยันว่าอุปกรณ์นั้นติดมัลแวร์แล้ว ข้อความ “SUSPICION” จะปรากฏขึ้น กรณีตรวจพบตัวบ่งชี้ที่ยังคลุมเคลือ – เป็นสัญญาณที่น่าจะติดเชื้อได้ และจะแสดงข้อความ “No traces of compromise were identified” ถ้าไม่พบตัวบ่งชี้ (IoCs) ของการติดเชื้อเลย

นายอิกอร์ คุซเนสตอฟ หัวหน้าหน่วย EEMA ของทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ กล่าวว่า “วันนี้เรามีความภูมิใจที่จะเปิดตัวทูลสำหรับใข้งานได้แบบสาธารณะ โดยไม่มีค่าใช้จ่าย เป็นเครื่องมือที่จะเข้ามาช่วยให้ผู้ใช้งานสามารถตรวจสอบได้เองว่าอุปกรณ์ได้รับผลกระทบจากภัยคุกคามซับซ้อนรูปแบบใหม่นี้หรือไม่ ด้วยความสามารถในการทำงานได้บนหลายแพลตฟอร์ม “triangle_check” นี้จะช่วยให้ผู้ใช้สามารถสแกนอุปกรณ์ของพวกเขาโดยอัตโนมัติได้เลย” อิกอร์ คูสเนซอฟ (Igor Kuznetsov) หัวหน้าหน่วย EEMEA แห่ง Kaspersky Global Research and Analysis Team (GReAT) “เราขอเรียกร้องให้คอมมูนิตี้ด้านความมั่นคงปลอดภัยทางไซเบอร์รวมตัวกันในการวิจัยเกี่ยวกับ APT ตัวใหม่เพื่อสร้างโลกดิจิทัลที่ปลอดภัยมากขึ้น”

อ่านข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน ‘triangle_check’ ได้จาก blogpost

In search of the Triangulation: triangle_check utility

อ่านข้อมูลเพิ่มเติมเกี่ยวกับ “Operation Triangulation” ได้จาก Securelist.com

Operation Triangulation: iOS devices targeted with previously unknown malware

ที่มา: พิตอน คอมมิวนิเคชั่น