Giảm giá nhiều giấy phép
Threat Database Mobile Malware Triangulation Mobile Malware

Triangulation Mobile Malware

Đến năm Mezo năm Mobile Malware, Backdoors
Dịch sang:
Tiếng Việt Nam

Triangulation là một phần mềm độc hại rất tinh vi được thiết kế đặc biệt để nhắm mục tiêu vào các thiết bị iOS. Nó hoạt động như một cửa hậu, tạo ra một lối vào bí mật cho các hoạt động đe dọa tiếp theo. Bằng cách khai thác lỗ hổng zero-click, Triangulation có thể xâm nhập vào các thiết bị mà không yêu cầu bất kỳ tương tác nào của người dùng, khiến việc phát hiện trở nên nguy hiểm và khó khăn hơn.

Khi ở bên trong một thiết bị, Triangulation thu thập dữ liệu người dùng và thiết bị cơ bản, cho phép kẻ tấn công lấy được thông tin có giá trị. Hơn nữa, nó có khả năng tải xuống và cài đặt các thành phần độc hại bổ sung, bao gồm cả phần mềm cấy ghép cửa hậu được gọi là TriangleDB. Bộ cấy này đóng vai trò là một công cụ bền bỉ cho phép kẻ tấn công duy trì quyền truy cập vào thiết bị bị xâm nhập và thực hiện các hành động bất chính tiếp theo. Mặc dù mối đe dọa có thể thiếu các cơ chế đảm bảo tính bền bỉ truyền thống, nhưng nó bù đắp cho thực tế này bằng cách sử dụng các phương pháp xâm nhập tiên tiến và xóa mọi dấu vết về sự hiện diện của nó, khiến nó khó bị phát hiện và loại bỏ.

Triangulation là một mối đe dọa dai dẳng ít nhất kể từ năm 2019 và tiếp tục gây rủi ro đáng kể kể từ tháng 6 năm 2023. Điều đáng chú ý là phiên bản được các chuyên gia bảo mật thông tin phân tích đã chứng minh khả năng nhắm mục tiêu hiệu quả các thiết bị chạy iOS 15.7, cho thấy khả năng thích ứng của nó với các phiên bản iOS mới hơn.

Các cuộc tấn công tam giác bắt đầu bằng các tin nhắn lừa đảo mang các tệp đính kèm bị xâm phạm

Nhiễm trùng tam giác được cho là tự động kích hoạt bởi một tin nhắn chứa tệp đính kèm không an toàn được gửi qua iMessage. Bản thân tệp đính kèm lạm dụng một khai thác tận dụng lỗ hổng hạt nhân trong hệ thống iOS. Lỗ hổng này cho phép thực thi mã độc, bắt đầu giai đoạn đầu tiên của cuộc tấn công Triangulation. Khi quá trình lây nhiễm tiến triển, nhiều thành phần được tải xuống từ máy chủ Command-and-Control (C2). Các thành phần này phục vụ mục đích nâng cao khả năng của phần mềm độc hại và cố gắng giành quyền root trên thiết bị bị xâm nhập.

Ngoài các chức năng chính, Triangulation còn đưa bộ cấy TriangleDB vào thiết bị bị xâm nhập. Mặc dù bản thân Triangulation có khả năng thu thập thông tin hệ thống cơ bản, chiến dịch phụ thuộc rất nhiều vào TriangleDB để truy cập dữ liệu có độ nhạy cao. Điều này bao gồm truy xuất thông tin từ các ứng dụng khác nhau, tệp người dùng, thông tin xác thực đăng nhập và dữ liệu quan trọng khác được lưu trữ trên thiết bị.

Sự kết hợp của lần khai thác ban đầu, lần tải xuống tiếp theo các thành phần từ máy chủ C&C và việc triển khai phần mềm gián điệp TriangleDB thể hiện tính chất phức tạp và nhiều mặt của hoạt động tấn công Triangulation.

Khả năng đe dọa được phát hiện trong phần mềm độc hại di động Triangulation

Một phần quan trọng trong hoạt động của Triangulation được dành riêng để loại bỏ mọi dấu vết về sự hiện diện của nó và xóa bỏ bằng chứng về sự lây nhiễm ban đầu. Điều này bao gồm việc xóa các tin nhắn độc hại bắt đầu chuỗi tấn công. Bằng cách xóa các yếu tố này, Triangulation nhằm mục đích làm phức tạp quá trình phát hiện và phân tích, khiến việc khám phá các hoạt động của nó trở nên khó khăn. Tuy nhiên, điều quan trọng cần lưu ý là bất chấp những nỗ lực của nó, Triangulation không thể loại bỏ hoàn toàn mọi dấu hiệu của sự thỏa hiệp. Một số phần còn lại của sự lây nhiễm Triangulation vẫn có thể được khôi phục bằng các công cụ pháp y kỹ thuật số.

Một khía cạnh đáng chú ý của Triangulation là thiếu các cơ chế kiên trì. Khi thiết bị bị nhiễm được khởi động lại, phần mềm độc hại sẽ bị loại bỏ khỏi hệ thống một cách hiệu quả. Phương pháp duy nhất được Triangulation sử dụng để ngăn chặn việc xóa kịp thời là cản trở các bản cập nhật iOS. Trong một số trường hợp, khi cố cập nhật iOS được thực hiện, một thông báo lỗi sẽ hiển thị cho biết 'Cập nhật phần mềm không thành công. Đã xảy ra lỗi khi tải xuống iOS.'

Tuy nhiên, điều quan trọng là phải hiểu rằng mặc dù khởi động lại đơn giản có thể loại bỏ Triangulation, nhưng nó không ngăn chặn khả năng lây nhiễm mối đe dọa tiếp theo. Do khai thác lỗ hổng zero-click, phần mềm độc hại có thể dễ dàng lẻn vào thiết bị của nạn nhân một lần nữa. Do đó, sau khi iPhone được khởi động lại, cần phải thực hiện khôi phục cài đặt gốc cho thiết bị. Sau khi thiết lập lại, bắt buộc phải cập nhật iOS kịp thời để đảm bảo thiết bị được bảo vệ khỏi Triangulation và các mối đe dọa liên quan.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...