นักวิจัยที่ Citizen Lab เผยแพร่ผลข้อมูล Forensic investigation ที่ยืนยันการค้นพบการใช้ Graphite spyware platform ของกลุ่ม Paragon ในการโจมตีแบบ Zero-Click ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ Apple iOS ของนักข่าวอย่างน้อย 2 รายในยุโรป คือนักข่าวชื่อดังชาวยุโรปที่ขอไม่เปิดเผยตัวตน และ Ciro Pellegrino นักข่าวจาก Fanpage.it สื่อสิ่งพิมพ์ของอิตาลี
การโจมตีดังกล่าวเกิดขึ้นในต้นปี 2025 และ Apple ได้ส่งการแจ้งเตือนไปยังเหยื่อทั้งสองรายในวันที่ 29 เมษายน 2025 โดยแจ้งว่าพวกเขาตกเป็นเป้าหมายของ “Advanced Spyware” โดย Hacker ได้ใช้ Graphite spyware platform ของกลุ่ม Paragon เพื่อโจมตีอุปกรณ์ iPhone ของเหยื่อที่ใช้ระบบปฏิบัติการ iOS 18.2.1 จากช่องโหว่ CVE-2025-43200 ซึ่งเป็นช่องโหว่แบบ Zero-Day ในขณะนั้น
Apple อธิบายว่า CVE-2025-43200 เป็นช่องโหว่ที่เกิดจาก logic issue ที่เกิดขึ้นเมื่อประมวลผลรูปภาพ หรือวิดีโอที่สร้างขึ้นอย่างเป็นอันตรายซึ่งแชร์ผ่าน iCloud Link
Apple ได้แก้ไขช่องโหว่ดังกล่าวใน iOS เวอร์ชัน 18.3.1 เมื่อวันที่ 10 กุมภาพันธ์ 2025 โดยเพิ่มผลการตรวจสอบที่ได้รับการปรับปรุง
ตามการวิเคราะห์ของ Citizen Lab พบว่า Attack Vactor ที่ใช้ในการส่ง Graphite spyware คือ iMessage โดยพบจาก Hacker ชื่อ ATTACKER1' ที่ส่งข้อความที่สร้างขึ้นมาเป็นพิเศษเพื่อโจมตีช่องโหว่ CVE-2025-43200 และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล(RCE) ทำให้ไม่จำเป็นต้องมีการโต้ตอบใด ๆ จากเป้าหมาย ซึ่งเรียกว่าเป็นการโจมตีแบบ Zero-Click ซึ่งจะไม่แสดงสัญญาณใด ๆ ที่จะแจ้งเตือนเป้าหมาย
เมื่อเปิดใช้งานแล้ว spyware จะติดต่อกับ command-and-control (C2) server เพื่อรับคำสั่งเพิ่มเติม ในเคสที่ได้รับการยืนยันจาก Citizen Lab พบโทรศัพท์ที่เชื่อมต่อกับ [hxxps://46.183.184[.]91|https://46.183.184[.]91/] ซึ่งเป็น VPS ที่เชื่อมโยงกับโครงสร้างพื้นฐานของ Paragon
IP address : 46[.]183[.]184[.]91 โฮสต์อยู่บน EDIS Global และเปิดใช้งานอย่างน้อยจนถึงวันที่ 12 เมษายน 2025
แม้ว่าจะมีร่องรอยหลงเหลืออยู่เพียงเล็กน้อยบนอุปกรณ์ แต่ Citizen Lab ก็สามารถกู้คืนบันทึกบางส่วนที่มีหลักฐานเพียงพอที่จะระบุการโจมตีว่าเป็น Graphite spyware ของ Paragon ได้อย่างมั่นใจ
spyware ตระกูลเดียวกันนี้ได้ถูกตรวจจับได้ในช่วงต้นปี 2025 จากการโจมตีแบบ Zero-Click อีกครั้ง จากช่องโหว่ Zero-Day ใน WhatsApp ซึ่งกำหนดเป้าหมายไปที่เหยื่อชาวอิตาลี
ทางการอิตาลีได้ยืนยันเมื่อต้นเดือนมิถุนายน 2025 ว่ามีการโจมตีบุคคลต่าง ๆ ในประเทศหลายครั้ง รวมถึงนักข่าว Francesco Cancellato, นักเคลื่อนไหว Luca Casarini และ Dr. Giuseppe “Beppe” Caccia อย่างไรก็ตาม ยังไม่มีการออกมาเปิดเปิดเผยกลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้
ที่มา : Bleepingcomputer
You must be logged in to post a comment.