Triangulation มัลแวร์บนมือถือ

Triangulation เป็นมัลแวร์ที่มีความซับซ้อนสูงซึ่งออกแบบมาเพื่อกำหนดเป้าหมายอุปกรณ์ iOS โดยเฉพาะ มันทำงานเป็นประตูหลัง สร้างทางเข้าลับสำหรับกิจกรรมที่คุกคามต่อไป การใช้ประโยชน์จากช่องโหว่แบบ Zero-click ทำให้ Triangulation สามารถแทรกซึมเข้าไปในอุปกรณ์โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ ทำให้การตรวจจับเป็นอันตรายและท้าทายมากยิ่งขึ้น

เมื่อเข้าไปในอุปกรณ์แล้ว Triangulation จะรวบรวมข้อมูลพื้นฐานของอุปกรณ์และข้อมูลผู้ใช้ ทำให้ผู้โจมตีได้รับข้อมูลที่มีค่า นอกจากนี้ยังมีความสามารถในการดาวน์โหลดและติดตั้งส่วนประกอบที่เป็นอันตรายเพิ่มเติม รวมทั้งการฝังข้อมูลลับๆ ที่รู้จักกันในชื่อ TriangleDB อุปกรณ์ฝังนี้ทำหน้าที่เป็นเครื่องมือถาวรที่ช่วยให้ผู้โจมตีรักษาการเข้าถึงอุปกรณ์ที่ถูกบุกรุกและดำเนินการที่ชั่วร้ายต่อไป แม้ว่าภัยคุกคามอาจขาดกลไกการรับประกันการคงอยู่แบบดั้งเดิม แต่ก็ชดเชยข้อเท็จจริงนี้โดยใช้วิธีการแทรกซึมขั้นสูงและลบร่องรอยของการมีอยู่ ทำให้ตรวจจับและกำจัดได้ยาก

Triangulation เป็นภัยคุกคามอย่างต่อเนื่องมาอย่างน้อยตั้งแต่ปี 2019 และยังคงมีความเสี่ยงที่สำคัญจนถึงเดือนมิถุนายน 2023 เป็นที่น่าสังเกตว่าเวอร์ชันที่วิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลได้แสดงให้เห็นถึงความสามารถในการกำหนดเป้าหมายอุปกรณ์ที่ใช้ iOS 15.7 ได้อย่างมีประสิทธิภาพ ซึ่งบ่งชี้ถึงความสามารถในการปรับตัวให้เข้ากับ iOS เวอร์ชันใหม่กว่า

การโจมตีสามเหลี่ยมเริ่มต้นด้วยข้อความฟิชชิ่งที่มีไฟล์แนบที่ถูกบุกรุก

เชื่อว่าการติดไวรัสแบบระบุตำแหน่งจะเกิดขึ้นโดยอัตโนมัติจากข้อความที่มีไฟล์แนบที่ไม่ปลอดภัยซึ่งส่งผ่าน iMessage ไฟล์แนบนั้นละเมิดช่องโหว่ที่ใช้ประโยชน์จากช่องโหว่เคอร์เนลภายในระบบ iOS ช่องโหว่นี้ช่วยให้สามารถเรียกใช้โค้ดที่เป็นอันตราย ซึ่งเริ่มขั้นตอนแรกของการโจมตีแบบสามเหลี่ยม ขณะที่การติดเชื้อดำเนินไป คอมโพเนนต์หลายตัวจะถูกดาวน์โหลดจากเซิร์ฟเวอร์ Command-and-Control (C2) ส่วนประกอบเหล่านี้มีจุดประสงค์เพื่อเพิ่มขีดความสามารถของมัลแวร์และพยายามรับสิทธิ์รูทบนอุปกรณ์ที่ถูกบุกรุก

นอกจากฟังก์ชันหลักแล้ว Triangulation ยังแนะนำการฝัง TriangleDB ลงในอุปกรณ์ที่ถูกบุกรุกอีกด้วย แม้ว่า Triangulation จะสามารถรวบรวมข้อมูลระบบพื้นฐานได้ แต่แคมเปญก็อาศัย TriangleDB อย่างมากในการเข้าถึงข้อมูลที่มีความละเอียดอ่อนสูง ซึ่งรวมถึงการดึงข้อมูลจากแอปพลิเคชันต่างๆ ไฟล์ผู้ใช้ ข้อมูลรับรองการเข้าสู่ระบบ และข้อมูลสำคัญอื่นๆ ที่จัดเก็บไว้ในอุปกรณ์

การรวมกันของการหาประโยชน์เริ่มต้น การดาวน์โหลดคอมโพเนนต์ที่ตามมาจากเซิร์ฟเวอร์ C&C และการติดตั้งสปายแวร์ TriangleDB แสดงให้เห็นถึงลักษณะที่ซับซ้อนและหลากหลายแง่มุมของการดำเนินการโจมตี Triangulation

ความสามารถที่เป็นอันตรายที่ค้นพบในมัลแวร์มือถือ Triangulation

ส่วนสำคัญของการดำเนินการของ Triangulation นั้นอุทิศตนเพื่อกำจัดร่องรอยของการมีอยู่ของมันและกำจัดหลักฐานของการติดเชื้อเริ่มแรก ซึ่งรวมถึงการลบข้อความที่เป็นอันตรายที่เริ่มต้นห่วงโซ่การโจมตี การลบองค์ประกอบเหล่านี้ Triangulation มีจุดมุ่งหมายเพื่อทำให้กระบวนการตรวจจับและวิเคราะห์ซับซ้อน ทำให้ยากต่อการเปิดเผยกิจกรรม อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าแม้จะมีความพยายาม Triangulation ไม่สามารถลบสัญญาณของการประนีประนอมได้ทั้งหมด ส่วนที่เหลือของการติดเชื้อ Triangulation ยังคงสามารถกู้คืนได้โดยใช้เครื่องมือทางนิติวิทยาศาสตร์แบบดิจิทัล

ลักษณะเด่นประการหนึ่งของ Triangulation คือการขาดกลไกการคงอยู่ เมื่ออุปกรณ์ที่ติดไวรัสถูกรีบูท มัลแวร์จะถูกกำจัดออกจากระบบอย่างมีประสิทธิภาพ วิธีเดียวที่ Triangulation ใช้เพื่อป้องกันการลบก่อนเวลาอันควรคือการขัดขวางการอัปเดต iOS ในบางกรณี เมื่อพยายามอัปเดต iOS ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้นโดยระบุว่า 'การอัปเดตซอฟต์แวร์ล้มเหลว เกิดข้อผิดพลาดขณะดาวน์โหลด iOS'

อย่างไรก็ตาม สิ่งสำคัญคือต้องเข้าใจว่าแม้การรีสตาร์ทอย่างง่ายสามารถลบ Triangulation ได้ แต่ก็ไม่ได้ป้องกันความเป็นไปได้ที่จะเกิดการติดเชื้อตามมาจากภัยคุกคาม เนื่องจากการใช้ประโยชน์จากช่องโหว่แบบ Zero-Click มัลแวร์จึงสามารถแอบเข้าไปในอุปกรณ์ของเหยื่อได้อย่างง่ายดายอีกครั้ง ดังนั้น หลังจากรีบูท iPhone แล้ว จำเป็นต้องทำการรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงาน หลังจากการรีเซ็ต จำเป็นต้องอัปเดต iOS โดยทันทีเพื่อให้แน่ใจว่าอุปกรณ์ได้รับการปกป้องจาก Triangulation และภัยคุกคามที่เกี่ยวข้อง