LightSpy Spyware
Αναλυτές ασφαλείας αποκάλυψαν ότι το λογισμικό κατασκοπείας LightSpy, το οποίο αρχικά θεωρήθηκε ότι στοχεύει χρήστες Apple iOS, είναι μια μη τεκμηριωμένη παραλλαγή macOS του κακόβουλου λογισμικού. Αυτές οι πληροφορίες προέρχονται από ειδικούς στον τομέα της κυβερνοασφάλειας που εξέτασαν τα ίχνη που συνδέονται με αυτήν την απειλή πολλαπλών πλατφορμών. Το πλαίσιο κακόβουλου λογισμικού πιθανότατα έχει τη δυνατότητα να μολύνει ένα ευρύ φάσμα συστημάτων, συμπεριλαμβανομένων των Android, iOS, Windows, macOS και Linux, καθώς και δρομολογητών που κατασκευάζονται από τη NETGEAR, τη Linksys και την ASUS.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ευπάθειες για να μολύνουν συσκευές με το LightSpy
Η ομάδα ενεργών απειλών χρησιμοποίησε δύο δημόσια διαθέσιμα exploit (CVE-2018-4233, CVE-2018-4404) για να αναπτύξει εμφυτεύματα σε macOS, με μέρος του CVE-2018-4404 να προέρχεται ενδεχομένως από το πλαίσιο Metasploit. Τα exploits στόχευαν την έκδοση 10 του macOS.
Αρχικά αναφέρθηκε το 2020, το LightSpy έχει συνδεθεί από τότε με ένα εργαλείο παρακολούθησης Android που ονομάζεται DragonEgg.
Τον Απρίλιο του 2024, οι ερευνητές αποκάλυψαν μια «ανανεωμένη» εκστρατεία κατασκοπείας στον κυβερνοχώρο που στόχευε χρήστες στη Νότια Ασία, η οποία αρχικά πιστεύονταν ότι παρείχε μια έκδοση iOS του LightSpy. Ωστόσο, έχει ανακαλυφθεί ότι είναι μια πιο εξελιγμένη παραλλαγή macOS που χρησιμοποιεί ένα σύστημα που βασίζεται σε πρόσθετα για τη συλλογή διαφόρων τύπων πληροφοριών.
Attack Chain of the LightSpy Campaign
Η ανάλυση δείχνει ότι η παραλλαγή του macOS λειτουργεί στη φύση τουλάχιστον από τον Ιανουάριο του 2024, στοχεύοντας περίπου 20 συσκευές, οι περισσότερες από τις οποίες πιστεύεται ότι είναι συσκευές δοκιμής.
Η ακολουθία επίθεσης ξεκινά με την εκμετάλλευση του CVE-2018-4233, μιας ευπάθειας του Safari WebKit, μέσω απειλητικών σελίδων HTML, ενεργοποιώντας την εκτέλεση κώδικα. Αυτό οδηγεί στην ανάπτυξη ενός δυαδικού αρχείου Mach-O 64-bit που είναι μεταμφιεσμένο σε αρχείο εικόνας PNG.
Η κύρια λειτουργία του δυαδικού αρχείου είναι να εξάγει και να εκτελεί ένα σενάριο φλοιού, το οποίο στη συνέχεια ανακτά τρία επιπλέον ωφέλιμα φορτία: μια εκμετάλλευση κλιμάκωσης προνομίων, ένα εργαλείο κρυπτογράφησης/αποκρυπτογράφησης και ένα αρχείο ZIP.
Μετά από αυτό, το σενάριο αποσυσκευάζει το αρχείο ZIP, που περιέχει τα αρχεία 'update' και 'update.plist' και εκχωρεί δικαιώματα root και στα δύο. Το αρχείο 'plist' εξασφαλίζει επιμονή, διασφαλίζοντας ότι το άλλο αρχείο ξεκινά μετά από κάθε επανεκκίνηση του συστήματος.
Τα επιβλαβή πρόσθετα επιτρέπουν στους εγκληματίες του κυβερνοχώρου να συλλαμβάνουν πολυάριθμα δεδομένα
Το αρχείο «ενημέρωση», γνωστό και ως macircloader, χρησιμεύει ως φορτωτής για το στοιχείο LightSpy Core. Αυτό το στοιχείο επιτρέπει την επικοινωνία με έναν διακομιστή Command-and-Control (C2), επιτρέποντας την ανάκτηση εντολών και λήψεις προσθηκών.
Η έκδοση macOS υποστηρίζει 10 διαφορετικές προσθήκες, επιτρέποντας διάφορες λειτουργίες, όπως λήψη ήχου από το μικρόφωνο, λήψη φωτογραφιών, εγγραφή δραστηριότητας οθόνης, συλλογή και διαγραφή αρχείων, εκτέλεση εντολών φλοιού, ανάκτηση λιστών εγκατεστημένων εφαρμογών και εκτελούμενων διαδικασιών και εξαγωγή δεδομένων από προγράμματα περιήγησης ιστού (Safari και Google Chrome) και iCloud Keychain.
Επιπλέον, δύο άλλες προσθήκες διευκολύνουν τη συλλογή πληροφοριών για άλλες συσκευές που ανήκουν στο ίδιο δίκτυο, παραθέτοντας δίκτυα Wi-Fi στα οποία έχει συνδεθεί η συσκευή και παρέχουν λεπτομέρειες σχετικά με κοντινά δίκτυα Wi-Fi.
Ανεξάρτητα από την πλατφόρμα που στόχευε, ο πρωταρχικός στόχος της ομάδας απειλών ήταν να υποκλέψει τις επικοινωνίες των θυμάτων, συμπεριλαμβανομένων των συνομιλιών μέσω μηνυμάτων και των ηχογραφήσεων φωνής. Μια ειδική προσθήκη για macOS αναπτύχθηκε ειδικά για την ανακάλυψη δικτύου, με στόχο τον εντοπισμό συσκευών κοντά στην τοποθεσία του θύματος.
