Triangulation Mobile Malware
Triangulation یک بدافزار بسیار پیچیده است که به طور خاص برای هدف قرار دادن دستگاه های iOS طراحی شده است. این به عنوان یک درب پشتی عمل می کند و یک نقطه ورودی مخفی برای فعالیت های تهدیدآمیز بیشتر ایجاد می کند. با بهرهبرداری از اکسپلویتهای صفر کلیک، Triangulation میتواند بدون نیاز به تعامل کاربر به دستگاهها نفوذ کند و شناسایی آن را مضرتر و چالش برانگیزتر کند.
هنگامی که داخل دستگاه قرار می گیرد، Triangulation داده های اولیه دستگاه و کاربر را جمع آوری می کند و به مهاجمان اجازه می دهد تا اطلاعات ارزشمندی را به دست آورند. علاوه بر این، قابلیت دانلود و نصب اجزای مخرب اضافی، از جمله ایمپلنت درب پشتی به نام TriangleDB را دارد. این ایمپلنت به عنوان ابزاری پایدار عمل میکند که مهاجمان را قادر میسازد تا دسترسی به دستگاه آسیبدیده را حفظ کرده و اقدامات پلید بیشتری را انجام دهند. در حالی که تهدید ممکن است فاقد مکانیسمهای سنتی تضمین پایداری باشد، اما این واقعیت را با استفاده از روشهای نفوذ پیشرفته و از بین بردن هر گونه اثری از حضور آن جبران میکند و تشخیص و حذف آن را دشوار میکند.
مثلث سازی حداقل از سال 2019 یک تهدید دائمی بوده است و تا ژوئن 2023 همچنان یک خطر قابل توجه است. شایان ذکر است که نسخه تجزیه و تحلیل شده توسط کارشناسان امنیت اطلاعات توانایی هدف قرار دادن موثر دستگاه های دارای iOS 15.7 را نشان داده است که نشان دهنده سازگاری آن با نسخه های جدیدتر iOS
حملات مثلثسازی با پیامهای فیشینگ که پیوستهای در معرض خطر را حمل میکنند آغاز میشود
اعتقاد بر این است که عفونت های مثلثی به طور خودکار توسط یک پیام حاوی یک پیوست ناامن ارسال شده از طریق iMessage ایجاد می شوند. خود پیوست از یک اکسپلویت سوء استفاده می کند که از یک آسیب پذیری هسته در سیستم iOS بهره می برد. این آسیب پذیری امکان اجرای کدهای مخرب را فراهم می کند که اولین مرحله از حمله Triangulation را آغاز می کند. با پیشرفت عفونت، چندین مؤلفه از یک سرور Command-and-Control (C2) دانلود می شود. این مؤلفهها به منظور افزایش قابلیتهای بدافزار و تلاش برای به دست آوردن امتیازات ریشه در دستگاه در معرض خطر است.
Triangulation علاوه بر عملکردهای اصلی خود، ایمپلنت TriangleDB را نیز به دستگاه آسیبدیده وارد میکند. در حالی که Triangulation خود قادر به جمع آوری اطلاعات اولیه سیستم است، کمپین به شدت به TriangleDB برای دسترسی به داده های بسیار حساس متکی است. این شامل بازیابی اطلاعات از برنامه های مختلف، فایل های کاربر، اعتبارنامه های ورود به سیستم و سایر داده های حیاتی ذخیره شده در دستگاه است.
ترکیبی از اکسپلویت اولیه، دانلود بعدی مؤلفه ها از سرور C&C، و استقرار نرم افزار جاسوسی TriangleDB ماهیت پیچیده و چندوجهی عملیات حمله Triangulation را نشان می دهد.
قابلیت های تهدید آمیز کشف شده در بدافزار موبایل Triangulation
بخش قابل توجهی از عملیات Triangulation به از بین بردن هر گونه اثری از حضور آن و از بین بردن شواهد عفونت اولیه اختصاص دارد. این شامل حذف پیام های مخربی است که زنجیره حمله را شروع می کند. هدف Triangulation با پاک کردن این عناصر، پیچیده کردن فرآیند تشخیص و تجزیه و تحلیل، و کشف فعالیت های آن چالش برانگیز است. با این حال، ذکر این نکته ضروری است که علیرغم تلاش هایش، مثلث نمی تواند تمام نشانه های سازش را به طور کامل حذف کند. برخی از بقایای عفونت مثلثی را می توان با استفاده از ابزارهای پزشکی قانونی دیجیتال بازیابی کرد.
یکی از جنبه های قابل توجه مثلث بندی عدم وجود مکانیسم های پایداری آن است. هنگامی که دستگاه آلوده راه اندازی مجدد می شود، بدافزار به طور موثر از سیستم حذف می شود. تنها روشی که توسط Triangulation برای جلوگیری از حذف نابهنگام استفاده میشود، جلوگیری از بهروزرسانیهای iOS است. در برخی موارد، هنگامی که تلاش برای به روز رسانی iOS انجام می شود، یک پیام خطایی نشان داده می شود که "به روز رسانی نرم افزار انجام نشد". هنگام دانلود iOS خطایی روی داد.'
با این حال، درک این نکته ضروری است که اگرچه یک راهاندازی مجدد ساده میتواند Triangulation را حذف کند، اما از احتمال هرگونه عفونت بعدی توسط تهدید جلوگیری نمیکند. به دلیل بهره برداری از یک اکسپلویت صفر کلیک، بدافزار می تواند به راحتی دوباره به دستگاه قربانی نفوذ کند. بنابراین، پس از راه اندازی مجدد آیفون، لازم است دستگاه را به حالت Factory Reset کنید. پس از تنظیم مجدد، ضروری است که سریعا iOS را به روز کنید تا از محافظت دستگاه در برابر مثلث و تهدیدات مرتبط با آن اطمینان حاصل کنید.