CISA แจ้งเตือนหน่วยงานรัฐบาลกลางให้แก้ไขช่องโหว่ของ iOS หลังพบการโจมตีเพื่อขโมยคริปโต

สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่ด้านความปลอดภัยของ iOS จำนวน 3 รายการ ซึ่งตกเป็นเป้าหมายในการโจมตีเพื่อขโมยข้อมูลคริปโตเคอร์เรนซี โดยมีการใช้เครื่องมือโจมตี Coruna

จากข้อมูลของนักวิจัยจาก Google Threat Intelligence Group (GTIG) ได้เปิดเผยเมื่อต้นสัปดาห์ที่ผ่านมา เครื่องมือ Coruna ใช้ exploit ที่มีความซับซ้อนหลายขั้นตอนมุ่งเป้าไปที่ช่องโหว่ของ iOS ถึง 23 รายการ ซึ่งหลายรายการถูกนำมาใช้ในการโจมตีแบบ Zero-day

อย่างไรก็ตาม ช่องโหว่นี้จะใช้ไม่ได้ผลกับ iOS เวอร์ชันล่าสุด และจะถูกบล็อกหากเป้าหมายกำลังใช้โหมด private browsing หรือเปิดใช้งานฟีเจอร์ป้องกันสปายแวร์ Lockdown Mode ของ Apple

Coruna ช่วยให้ผู้โจมตีสามารถ bypass Pointer Authentication Code (PAC) และ sandbox escape รวมไปถึง bypass Page Protection Layer (PPL) อีกทั้งยังช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลของ WebKit และยกระดับสิทธิ์ไปสู่ระดับ Kernel บนอุปกรณ์ที่มีช่องโหว่ได้

GTIG ตรวจพบว่าเครื่องมือนี้ถูกใช้งานโดยกลุ่มผู้โจมตีหลายกลุ่มในปีที่ผ่านมา เช่น กลุ่มลูกค้าของ Surveillance vendor และกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย (UNC6353) รวมไปถึงกลุ่มผู้โจมตีชาวจีนที่มีแรงจูงใจทางด้านการเงิน (UNC6691)

โดยกลุ่ม UNC6691 ได้นำเครื่องมือนี้ไปใช้บนเว็บไซต์การพนัน และเว็บไซต์คริปโตปลอม เพื่อใช้เป็นช่องทางในการส่งมัลแวร์ที่ออกแบบมาเพื่อขโมยกระเป๋าเงินคริปโตของเหยื่อที่หลงเชื่อ

iVerify บริษัทด้านความปลอดภัยบนมือถือระบุว่า Coruna คือตัวอย่างของความสามารถของสปายแวร์ที่มีความซับซ้อน ซึ่งมีการเปลี่ยนจากกลุ่ม commercial surveillance vendors ไปสู่กลุ่ม nation-state actors และยกระดับไปสู่กลุ่มอาชญากรรมไซเบอร์ขนาดใหญ่

ตามที่ระบุไว้ใน Binding Operational Directive (BOD) 22-01 ระบุว่า เมื่อวันพฤหัสบดีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยของ Coruna จำนวน 3 รายการจากทั้งหมด 23 รายการ ลงใน Known Exploited Vulnerabilities พร้อมสั่งการให้หน่วยงานใน Federal Civilian Executive Branch (FCEB) ตรวจสอบ และแก้ไขช่องโหว่ด้านความปลอดภัยให้กับอุปกรณ์ จนถึงวันที่ 26 มีนาคม

CISA ระบุว่า ให้ดำเนินการแก้ไขตามคำแนะนำของผู้ผลิต ปฏิบัติตามแนวทางของ BOD 22-01 สำหรับ cloud services ที่เกี่ยวข้อง หรือหยุดใช้ product หากไม่มีมาตรการลดผลกระทบ

ช่องโหว่ประเภทนี้เป็นช่องทางที่ผู้โจมตีมักใช้ และก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรของรัฐบาลกลาง

แม้ว่า BOD 22-01 จะใช้ได้เฉพาะกับหน่วยงานของรัฐบาลกลางเท่านั้น แต่ CISA ก็ได้เรียกร้องให้ทุกองค์กร รวมถึงบริษัทในภาคเอกชน ให้ความสำคัญกับการแก้ไขช่องโหว่เหล่านี้เพื่อรักษาความปลอดภัยของอุปกรณ์จากการโจมตีโดยเร็วที่สุด

ที่มา : bleepingcomputer