LightSpy 스파이웨어
보안 분석가들은 처음에는 Apple iOS 사용자를 표적으로 삼는 것으로 생각되었던 LightSpy 스파이웨어가 문서화되지 않은 악성 코드의 macOS 변종임을 밝혔습니다. 이러한 통찰은 크로스 플랫폼 위협과 관련된 흔적을 조사한 사이버 보안 전문가로부터 비롯됩니다. 악성코드 프레임워크는 Android, iOS, Windows, macOS, Linux는 물론 NETGEAR, Linksys, ASUS에서 제조한 라우터를 포함한 광범위한 시스템을 감염시킬 가능성이 있습니다.
목차
사이버 범죄자들은 LightSpy로 장치를 감염시키기 위해 취약점을 악용합니다.
위협 행위자 그룹은 공개적으로 사용 가능한 두 가지 익스플로잇(CVE-2018-4233, CVE-2018-4404)을 활용하여 macOS에 임플란트를 배포했습니다. CVE-2018-4404의 일부는 Metasploit 프레임워크에서 유래할 가능성이 있습니다. 이 익스플로잇은 macOS 버전 10을 표적으로 삼았습니다.
2020년에 처음 보고된 LightSpy는 이후 DragonEgg라는 Android 감시 도구에 연결되었습니다.
2024년 4월, 연구원들은 남아시아 사용자를 겨냥한 "갱신된" 사이버 스파이 캠페인을 공개했습니다. 처음에는 LightSpy의 iOS 버전을 제공하는 것으로 여겨졌습니다. 그러나 다양한 유형의 정보를 수집하기 위해 플러그인 기반 시스템을 활용하는 보다 정교한 macOS 변종인 것으로 밝혀졌습니다.
LightSpy 캠페인의 공격 체인
분석에 따르면 macOS 변종은 최소 2024년 1월부터 약 20개의 장치를 대상으로 실제 작동해 왔으며 그 중 대부분은 테스트 장치로 추정됩니다.
공격 순서는 위협적인 HTML 페이지를 통해 Safari WebKit 취약점인 CVE-2018-4233을 악용하여 코드 실행을 시작합니다. 이로 인해 PNG 이미지 파일로 위장한 64비트 Mach-O 바이너리가 배포됩니다.
바이너리의 주요 기능은 쉘 스크립트를 추출하고 실행하는 것입니다. 그런 다음 권한 상승 익스플로잇, 암호화/암호 해독 도구, ZIP 아카이브 등 세 가지 추가 페이로드를 검색합니다.
그런 다음 스크립트는 'update' 및 'update.plist' 파일이 포함된 ZIP 아카이브의 압축을 풀고 두 파일 모두에 루트 권한을 할당합니다. 'plist' 파일은 지속성을 보장하여 시스템을 다시 시작할 때마다 다른 파일이 시작되도록 합니다.
유해한 플러그인으로 인해 사이버 범죄자가 수많은 데이터를 캡처할 수 있습니다.
macircloader라고도 알려진 '업데이트' 파일은 LightSpy Core 구성 요소의 로더 역할을 합니다. 이 구성 요소는 명령 및 제어(C2) 서버와의 통신을 가능하게 하여 명령 검색 및 플러그인 다운로드를 허용합니다.
macOS 버전은 10가지 플러그인을 지원하여 마이크에서 오디오 캡처, 사진 촬영, 화면 활동 기록, 파일 수집 및 삭제, 셸 명령 실행, 설치된 애플리케이션 및 실행 중인 프로세스 목록 검색, 웹 브라우저에서 데이터 추출과 같은 다양한 기능을 지원합니다. (Safari 및 Google Chrome) 및 iCloud 키체인.
또한 두 개의 다른 플러그인은 동일한 네트워크에 속한 다른 장치에 대한 정보 수집을 용이하게 하고, 장치가 연결된 Wi-Fi 네트워크를 나열하고 근처 Wi-Fi 네트워크에 대한 세부 정보를 제공합니다.
표적으로 삼은 플랫폼에 관계없이 위협 행위자 그룹의 주요 목표는 메신저 대화와 음성 녹음을 포함한 피해자의 통신을 가로채는 것이었습니다. macOS용 전용 플러그인은 피해자 위치 근처의 장치를 식별하는 것을 목표로 네트워크 검색을 위해 특별히 개발되었습니다.
