LightSpy spyware
Sikkerhedsanalytikere har afsløret, at LightSpy-spywaren, der oprindeligt menes at være målrettet mod Apple iOS-brugere, er en udokumenteret macOS-variant af malwaren. Disse indsigter stammer fra cybersikkerhedsspecialister, som undersøgte sporene forbundet med denne trussel på tværs af platforme. Malwarerammerne har sandsynligvis potentialet til at inficere en lang række systemer, herunder Android, iOS, Windows, macOS og Linux, samt routere fremstillet af NETGEAR, Linksys og ASUS.
Indholdsfortegnelse
Cyberkriminelle udnytter sårbarheder til at inficere enheder med LightSpy
Trusselsaktørgruppen udnyttede to offentligt tilgængelige udnyttelser (CVE-2018-4233, CVE-2018-4404) til at implementere implantater på macOS, hvor en del af CVE-2018-4404 potentielt stammer fra Metasploit-rammen. Udnyttelserne var målrettet macOS version 10.
Oprindeligt rapporteret i 2020, er LightSpy siden blevet knyttet til et Android-overvågningsværktøj ved navn DragonEgg.
I april 2024 afslørede forskere en "fornyet" cyberspionagekampagne rettet mod brugere i Sydasien, som oprindeligt menes at levere en iOS-version af LightSpy. Det har dog vist sig at være en mere sofistikeret macOS-variant, der bruger et plugin-baseret system til at indsamle forskellige typer information.
LightSpy-kampagnens angrebskæde
Analyse viser, at macOS-varianten har været operationel i naturen siden mindst januar 2024, målrettet mod cirka 20 enheder, hvoraf de fleste menes at være testenheder.
Angrebssekvensen starter med udnyttelsen af CVE-2018-4233, en Safari WebKit-sårbarhed, gennem truende HTML-sider, der udløser kørsel af kode. Dette fører til udrulning af en 64-bit Mach-O binær forklædt som en PNG-billedfil.
Binærens hovedfunktion er at udtrække og udføre et shell-script, som derefter henter tre ekstra nyttelaster: en privilegie-eskaleringsudnyttelse, et krypterings-/dekrypteringsværktøj og et ZIP-arkiv.
Efter dette udpakker scriptet ZIP-arkivet, der indeholder 'update' og 'update.plist' filer, og tildeler root-privilegier til begge. 'Plist'-filen sikrer vedholdenhed og sikrer, at den anden fil starter efter hver systemgenstart.
Skadelige plugins tillader cyberkriminelle at fange talrige data
'Opdateringsfilen', også kendt som macircloader, fungerer som en loader for LightSpy Core-komponenten. Denne komponent muliggør kommunikation med en Command-and-Control-server (C2), hvilket tillader hentning af kommandoer og plugin-downloads.
MacOS-versionen understøtter 10 forskellige plugins, der muliggør forskellige funktioner såsom lydoptagelse fra mikrofonen, tage billeder, optage skærmaktivitet, filindsamling og sletning, udføre shell-kommandoer, hente lister over installerede applikationer og kørende processer og udtrække data fra webbrowsere (Safari og Google Chrome) og iCloud nøglering.
Derudover gør to andre plugins det nemmere at indsamle oplysninger om andre enheder, der tilhører det samme netværk, ved at angive Wi-Fi-netværk, som enheden har tilsluttet, og give detaljer om nærliggende Wi-Fi-netværk.
Uanset hvilken platform der var målrettet mod, var trusselsaktørgruppens primære mål at opsnappe ofrets kommunikation, herunder messenger-samtaler og stemmeoptagelser. Et dedikeret plugin til macOS blev udviklet specifikt til netværksopdagelse med det formål at identificere enheder i nærheden af offerets placering.
