LightSpy Spyware
Biztonsági elemzők felfedték, hogy a LightSpy kémprogram, amelyről eredetileg az Apple iOS-felhasználókat célozta meg, a rosszindulatú program nem dokumentált macOS változata. Ezek a felismerések a kiberbiztonsági szakemberektől származnak, akik megvizsgálták a platformok közötti fenyegetéssel kapcsolatos nyomokat. A rosszindulatú programkeret valószínűleg számos rendszert megfertőzhet, beleértve az Android, iOS, Windows, macOS és Linux rendszereket, valamint a NETGEAR, a Linksys és az ASUS által gyártott útválasztókat.
Tartalomjegyzék
A kiberbűnözők a sebezhetőségeket kihasználva fertőzik meg az eszközöket a LightSpy segítségével
A fenyegetettségi szereplők csoportja két nyilvánosan elérhető kizsákmányolást (CVE-2018-4233, CVE-2018-4404) használt az implantátumok macOS rendszeren történő telepítéséhez, és a CVE-2018-4404 egy része valószínűleg a Metasploit keretrendszerből származik. A célzott macOS 10-es verziót használja ki.
Az eredetileg 2020-ban bejelentett LightSpy-t azóta összekapcsolták egy DragonEgg nevű Android-felügyeleti eszközzel.
2024 áprilisában a kutatók nyilvánosságra hoztak egy „megújított” kiberkémkampányt, amely a dél-ázsiai felhasználókat célozta meg, és amelyről eredetileg a LightSpy iOS-verzióját tartották. Felfedezték azonban, hogy ez egy kifinomultabb macOS-változat, amely plugin-alapú rendszert használ különféle típusú információk gyűjtésére.
A LightSpy kampány támadási lánca
Az elemzés azt mutatja, hogy a macOS-változat a vadonban legalább 2024 januárja óta működik, körülbelül 20 eszközt célozva meg, amelyek többsége a feltételezések szerint teszteszköz.
A támadássorozat a CVE-2018-4233, a Safari WebKit biztonsági résének kihasználásával indul, HTML-oldalak fenyegetésével, kódfuttatást indítva el. Ez egy 64 bites Mach-O bináris PNG-képfájlnak álcázott telepítéséhez vezet.
A bináris fő funkciója egy shell-szkript kibontása és végrehajtása, amely ezután három további hasznos adatot kér le: egy privilégium-eszkalációs exploitot, egy titkosító/visszafejtő eszközt és egy ZIP-archívumot.
Ezt követően a szkript kicsomagolja az „update” és „update.plist” fájlokat tartalmazó ZIP-archívumot, és mindkettőhöz root jogosultságokat rendel. A „plist” fájl biztosítja az állandóságot, biztosítva, hogy a többi fájl elinduljon a rendszer minden újraindítása után.
A káros beépülő modulok lehetővé teszik a kiberbűnözők számára, hogy számos adatot rögzítsenek
A „frissítési” fájl, más néven macircloader, a LightSpy Core összetevő betöltőjeként szolgál. Ez az összetevő lehetővé teszi a kommunikációt a Command-and-Control (C2) kiszolgálóval, lehetővé téve a parancsok lekérését és a beépülő modulok letöltését.
A macOS verzió 10 különböző beépülő modult támogat, amelyek különféle funkciókat tesznek lehetővé, mint például hangrögzítés a mikrofonból, fényképek készítése, képernyőtevékenység rögzítése, fájlok begyűjtése és törlése, shell-parancsok végrehajtása, a telepített alkalmazások és futó folyamatok listájának lekérése, valamint adatok kinyerése a webböngészőkből. (Safari és Google Chrome) és iCloud kulcstartó.
Ezenkívül két másik beépülő modul megkönnyíti az ugyanahhoz a hálózathoz tartozó egyéb eszközökről szóló információk gyűjtését, felsorolja azokat a Wi-Fi hálózatokat, amelyekhez az eszköz csatlakoztatta, és részleteket szolgáltat a közeli Wi-Fi hálózatokról.
A megcélzott platformtól függetlenül a fenyegetőző csoport elsődleges célja az áldozatok kommunikációjának lehallgatása volt, beleértve a hírnöki beszélgetéseket és a hangfelvételeket. A macOS-hez egy dedikált beépülő modult kifejezetten hálózatfelderítésre fejlesztettek ki, azzal a céllal, hogy azonosítsák az áldozat helyéhez közeli eszközöket.