Triangulation Mobile Malware

Triangulation 是一種高度複雜的惡意軟件，專門針對 iOS 設備而設計。它作為後門運行，為進一步的威脅活動創建秘密入口點。通過利用零點擊漏洞，三角測量可以在不需要任何用戶交互的情況下滲透設備，從而使其更加有害且難以檢測。

一旦進入設備內部，三角測量就會收集基本的設備和用戶數據，使攻擊者能夠獲得有價值的信息。此外，它還能夠下載並安裝其他惡意組件，包括稱為 TriangleDB 的後門植入。該植入程序充當持久性工具，使攻擊者能夠保持對受感染設備的訪問並執行進一步的惡意操作。雖然威脅可能缺乏傳統的持久性確保機制，但它通過採用先進的滲透方法並消除其存在的任何痕跡來彌補這一事實，從而使其難以檢測和消除。

至少自 2019 年以來，三角測量一直是持續存在的威脅，並且截至 2023 年 6 月，仍將構成重大風險。值得注意的是，信息安全專家分析的版本已證明能夠有效針對運行 iOS 15.7 的設備，這表明其對較新的 iOS 版本。

三角測量攻擊從攜帶受損附件的網絡釣魚消息開始

據信，三角測量感染是由通過 iMessage 發送的包含不安全附件的消息自動觸發的。附件本身濫用了利用 iOS 系統內的內核漏洞的漏洞。該漏洞允許執行惡意代碼，從而啟動三角測量攻擊的第一階段。隨著感染的進展，將從命令與控制 (C2) 服務器下載多個組件。這些組件的目的是升級惡意軟件的功能並嘗試獲得受感染設備的 root 權限。

除了其主要功能外，Triangulation 還將 TriangleDB 植入物引入到受感染的設備中。雖然 Triangulation 本身能夠收集基本的系統信息，但該活動嚴重依賴 TriangleDB 來訪問高度敏感的數據。這包括從各種應用程序、用戶文件、登錄憑據以及設備上存儲的其他關鍵數據檢索信息。

最初的利用、隨後從 C&C 服務器下載組件以及 TriangleDB 間諜軟件的部署相結合，證明了 Triangulation 攻擊操作的複雜性和多方面性。

Triangulation 移動惡意軟件中發現的威脅功能

三角測量行動的很大一部分致力於消除其存在的任何痕跡並消除最初感染的證據。這包括刪除啟動攻擊鏈的惡意消息。通過消除這些元素，三角測量旨在使檢測和分析過程複雜化，從而使揭露其活動變得具有挑戰性。然而，值得注意的是，儘管三角測量做出了努力，但仍無法完全消除所有妥協的跡象。三角測量感染的某些殘留物仍然可以使用數字取證工具來恢復。

三角測量的一個值得注意的方面是它缺乏持久性機制。當受感染的設備重新啟動時，惡意軟件就會被有效地從系統中消除。 Triangulation 防止不及時刪除的唯一方法是阻止 iOS 更新。在某些情況下，當嘗試更新 iOS 時，會顯示一條錯誤消息，指出“軟件更新失敗”。下載 iOS 時出錯。”

然而，重要的是要了解，雖然簡單的重新啟動可以消除三角測量，但它並不能阻止威脅後續感染的可能性。由於利用了零點擊漏洞，惡意軟件可以輕鬆地再次潛入受害者的設備。因此，iPhone重啟後，需要對設備進行恢復出廠設置。重置後，必須立即更新 iOS，以確保設備免受三角測量及其相關威脅。