Triangulation Mobile Malware

Nirengi, iOS cihazlarını hedeflemek için özel olarak tasarlanmış oldukça gelişmiş bir kötü amaçlı yazılımdır. Daha fazla tehdit edici faaliyetler için gizli bir giriş noktası oluşturarak bir arka kapı olarak çalışır. Triangulation, sıfır tıklama açıklarından yararlanarak, herhangi bir kullanıcı etkileşimi gerektirmeden cihazlara sızabilir, bu da onu daha da zararlı ve tespit edilmesini zorlaştırır.

Bir cihazın içine girdikten sonra Nirengi, temel cihaz ve kullanıcı verilerini toplayarak saldırganların değerli bilgiler elde etmesine olanak tanır. Ayrıca, TriangleDB olarak bilinen bir arka kapı implantı da dahil olmak üzere ek kötü amaçlı bileşenleri indirme ve yükleme yeteneğine sahiptir. Bu implant, saldırganların güvenliği ihlal edilmiş cihaza erişimi sürdürmelerine ve daha fazla hain eylemler gerçekleştirmelerine olanak tanıyan kalıcı bir araç görevi görür. Tehdit, geleneksel kalıcılık sağlama mekanizmalarından yoksun olsa da, gelişmiş sızma yöntemleri kullanarak ve varlığının tüm izlerini kaldırarak bu gerçeği telafi eder, bu da tespit edilmesini ve ortadan kaldırılmasını zorlaştırır.

Nirengi en az 2019'dan beri kalıcı bir tehdit olmuştur ve Haziran 2023 itibarıyla önemli bir risk oluşturmaya devam etmektedir. Bilgi güvenliği uzmanları tarafından analiz edilen sürümün, iOS 15.7 çalıştıran cihazları etkili bir şekilde hedefleme yeteneği gösterdiğini belirtmekte fayda var. daha yeni iOS sürümleri.

Nirengi Saldırıları, Ele Geçirilmiş Ekler Taşıyan Kimlik Avı Mesajlarıyla Başlar

Nirengi bulaşmalarının, iMessage aracılığıyla gönderilen güvenli olmayan bir ek içeren bir mesaj tarafından otomatik olarak tetiklendiğine inanılıyor. Ekin kendisi, iOS sistemindeki bir çekirdek güvenlik açığından yararlanan bir istismarı kötüye kullanıyor. Bu güvenlik açığı, Üçgenleme saldırısının ilk aşamasını başlatan kötü amaçlı kodun yürütülmesine izin verir. Bulaşma ilerledikçe, Komuta ve Kontrol (C2) sunucusundan birden çok bileşen indirilir. Bu bileşenler, kötü amaçlı yazılımın yeteneklerini artırma ve güvenliği ihlal edilmiş cihazda kök ayrıcalıkları elde etmeye çalışma amacına hizmet eder.

Triangulation, birincil işlevlerine ek olarak, güvenliği ihlal edilmiş cihaza TriangleDB implantını da ekler. Nirenginin kendisi temel sistem bilgilerini toplayabilirken, kampanya, yüksek düzeyde hassas verilere erişmek için büyük ölçüde TriangleDB'ye güveniyor. Bu, çeşitli uygulamalardan, kullanıcı dosyalarından, oturum açma kimlik bilgilerinden ve cihazda depolanan diğer kritik verilerden bilgi almayı içerir.

İlk istismarın birleşimi, ardından C&C sunucusundan bileşenlerin indirilmesi ve TriangleDB casus yazılımının konuşlandırılması, Üçgenleme saldırı operasyonunun karmaşık ve çok yönlü doğasını gösterir.

Üçgenleme Mobil Kötü Amaçlı Yazılımında Keşfedilen Tehdit Edici Yetenekler

Nirengi operasyonunun önemli bir kısmı, varlığının tüm izlerini ortadan kaldırmaya ve ilk enfeksiyonun kanıtlarını ortadan kaldırmaya adanmıştır. Buna, saldırı zincirini başlatan kötü amaçlı mesajların silinmesi de dahildir. Bu unsurları silerek, Nirengi tespit ve analiz sürecini karmaşıklaştırmayı amaçlıyor ve faaliyetlerini ortaya çıkarmayı zorlaştırıyor. Ancak, tüm çabalarına rağmen Nirenginin tüm uzlaşma belirtilerini tamamen ortadan kaldıramayacağını not etmek önemlidir. Bir Üçgenleme enfeksiyonunun belirli kalıntıları, dijital adli tıp araçları kullanılarak hala kurtarılabilir.

Nirenginin dikkate değer bir yönü, kalıcılık mekanizmalarının olmamasıdır. Virüslü cihaz yeniden başlatıldığında, kötü amaçlı yazılım sistemden etkili bir şekilde temizlenir. Nirengi tarafından zamansız kaldırmayı önlemek için kullanılan tek yöntem, iOS güncellemelerini engellemektir. Bazı durumlarda, iOS'u güncelleme girişimi yapıldığında, 'Yazılım Güncellemesi Başarısız' şeklinde bir hata mesajı görüntüleniyor. iOS indirilirken bir hata oluştu.'

Bununla birlikte, basit bir yeniden başlatmanın Üçgenlemeyi kaldırabilmesine rağmen, tehdidin daha sonra herhangi bir şekilde bulaşma olasılığını engellemediğini anlamak çok önemlidir. Sıfır tıklamalı bir açıktan yararlanma nedeniyle, kötü amaçlı yazılım kolayca kurbanın cihazına yeniden girebilir. Bu nedenle, bir iPhone yeniden başlatıldıktan sonra, cihazın fabrika ayarlarına sıfırlanması gerekir. Sıfırlamanın ardından, cihazın Nirengiye ve bununla ilişkili tehditlere karşı korunmasını sağlamak için iOS'u derhal güncellemek zorunludur.