LightSpy nuhkvara
Turvaanalüütikud on paljastanud, et LightSpy nuhkvara, mis algselt arvati olevat suunatud Apple iOS-i kasutajatele, on pahavara dokumenteerimata MacOS-i variant. Need teadmised pärinevad küberturvalisuse spetsialistidelt, kes uurisid selle platvormidevahelise ohuga seotud jälgi. Pahavara raamistik võib tõenäoliselt nakatada paljusid süsteeme, sealhulgas Androidi, iOS-i, Windowsi, macOS-i ja Linuxi, aga ka NETGEARi, Linksysi ja ASUSe toodetud ruutereid.
Sisukord
Küberkurjategijad kasutavad LightSpy abil seadmete nakatamiseks turvaauke
Ohutegijate rühm kasutas macOS-is implantaatide juurutamiseks kahte avalikult kättesaadavat võtet (CVE-2018-4233, CVE-2018-4404), kusjuures osa CVE-2018-4404-st võib pärineda Metasploiti raamistikust. Kasutab sihitud macOS-i versiooni 10.
Algselt teatati 2020. aastal, et LightSpy on sellest ajast alates seotud Androidi seiretööriistaga nimega DragonEgg.
2024. aasta aprillis avalikustasid teadlased "uuendatud" küberspionaažikampaania, mis oli suunatud Lõuna-Aasia kasutajatele ja mis algselt arvati olevat LightSpy iOS-i versiooni. Siiski on avastatud, et see on keerukam macOS-i variant, mis kasutab erinevat tüüpi teabe kogumiseks pistikprogrammipõhist süsteemi.
LightSpy kampaania rünnakuahel
Analüüs näitab, et macOS-i variant on looduses toiminud vähemalt 2024. aasta jaanuarist, sihitud umbes 20 seadet, millest enamik arvatakse olevat testseadmed.
Rünnaku jada saab alguse Safari WebKiti haavatavuse CVE-2018-4233 ärakasutamisest ähvardavate HTML-lehtede kaudu, käivitades koodi täitmise. See viib 64-bitise Mach-O binaarfaili juurutamiseni, mis on maskeeritud PNG-pildifailiks.
Kahendfaili põhifunktsioon on shelliskripti ekstraktimine ja täitmine, mis seejärel hangib kolm täiendavat kasulikku koormust: privileegide eskalatsiooni kasutamine, krüptimise/dekrüpteerimise tööriist ja ZIP-arhiiv.
Pärast seda pakib skript lahti ZIP-arhiivi, mis sisaldab faile „update” ja „update.plist”, ning määrab mõlemale juurõigused. Plist-fail tagab püsivuse, tagades teise faili käivitamise pärast iga süsteemi taaskäivitamist.
Kahjulikud pistikprogrammid võimaldavad küberkurjategijatel koguda arvukalt andmeid
Värskendusfail, tuntud ka kui macircloader, toimib LightSpy Core komponendi laadijana. See komponent võimaldab suhelda käsu-ja juhtimisserveriga (C2), võimaldades käskude ja pistikprogrammide allalaadimist.
MacOS-i versioon toetab 10 erinevat pistikprogrammi, mis võimaldavad erinevaid funktsioone, nagu heli jäädvustamine mikrofonist, fotode tegemine, ekraanitegevuse salvestamine, failide kogumine ja kustutamine, shellikäskude täitmine, installitud rakenduste loendite ja töötavate protsesside hankimine ning andmete veebibrauseritest eraldamine. (Safari ja Google Chrome) ja iCloudi võtmehoidja.
Lisaks hõlbustavad kaks teist pistikprogrammi teabe kogumist teiste samasse võrku kuuluvate seadmete kohta, loetledes WiFi-võrgud, millega seade on ühendatud, ja edastades üksikasju läheduses asuvate WiFi-võrkude kohta.
Sõltumata sihitud platvormist oli ohus osalejate rühma peamine eesmärk ohvrite suhtluse, sealhulgas sõnumitooja vestluste ja helisalvestiste pealtkuulamine. Spetsiaalne macOS-i pistikprogramm töötati välja spetsiaalselt võrgu avastamiseks, eesmärgiga tuvastada ohvri asukoha lähedal olevad seadmed.
