„LightSpy“ šnipinėjimo programa
Saugumo analitikai atskleidė, kad „LightSpy“ šnipinėjimo programa, kuri iš pradžių buvo skirta „Apple iOS“ naudotojams, yra nedokumentuotas „MacOS“ kenkėjiškos programos variantas. Šios įžvalgos kyla iš kibernetinio saugumo specialistų, kurie ištyrė pėdsakus, susijusius su šia kelių platformų grėsme. Tikėtina, kad kenkėjiškų programų sistema gali užkrėsti daugybę sistemų, įskaitant „Android“, „iOS“, „Windows“, „MacOS“ ir „Linux“, taip pat maršrutizatorius, kuriuos gamina NETGEAR, Linksys ir ASUS.
Turinys
Kibernetiniai nusikaltėliai išnaudoja pažeidžiamumą, kad užkrėstų įrenginius naudojant „LightSpy“.
Grėsmės veikėjų grupė panaudojo du viešai prieinamus išnaudojimus (CVE-2018-4233, CVE-2018-4404), kad įdiegtų implantus MacOS, o dalis CVE-2018-4404 gali būti kilusi iš Metasploit sistemos. Išnaudoja tikslinę macOS 10 versiją.
Iš pradžių pranešta 2020 m., „LightSpy“ nuo tada buvo susieta su „Android“ stebėjimo įrankiu, pavadintu „DragonEgg“.
2024 m. balandžio mėn. mokslininkai atskleidė „atnaujintą“ kibernetinio šnipinėjimo kampaniją, skirtą Pietų Azijos vartotojams, iš pradžių manyta, kad ji pristato „iOS“ „LightSpy“ versiją. Tačiau buvo nustatyta, kad tai sudėtingesnis „macOS“ variantas, kuriame naudojama papildiniu pagrįsta sistema įvairių tipų informacijai rinkti.
„LightSpy“ kampanijos puolimo grandinė
Analizė rodo, kad „macOS“ variantas gamtoje veikia mažiausiai nuo 2024 m. sausio mėn., skirtas maždaug 20 įrenginių, kurių dauguma, kaip manoma, yra bandomieji įrenginiai.
Atakos seka pradedama naudojant CVE-2018-4233, „Safari WebKit“ pažeidžiamumą, keliant grėsmę HTML puslapiams, suaktyvinant kodo vykdymą. Dėl to įdiegiamas 64 bitų Mach-O dvejetainis failas, užmaskuotas kaip PNG vaizdo failas.
Pagrindinė dvejetainio failo funkcija yra išgauti ir vykdyti apvalkalo scenarijų, kuris vėliau nuskaito tris papildomus naudingus krovinius: privilegijų eskalavimo išnaudojimą, šifravimo / iššifravimo įrankį ir ZIP archyvą.
Po to scenarijus išpakuoja ZIP archyvą, kuriame yra „update“ ir „update.plist“ failai, ir abiem priskiria pagrindines teises. „Plist“ failas užtikrina patvarumą, užtikrindamas, kad kitas failas būtų paleistas po kiekvieno sistemos paleidimo iš naujo.
Žalingi papildiniai leidžia kibernetiniams nusikaltėliams užfiksuoti daugybę duomenų
„Atnaujinimo“ failas, taip pat žinomas kaip „macircloader“, naudojamas kaip „LightSpy Core“ komponento įkroviklis. Šis komponentas įgalina ryšį su komandų ir valdymo (C2) serveriu, leidžiančiu nuskaityti komandas ir atsisiųsti papildinius.
„MacOS“ versija palaiko 10 skirtingų papildinių, leidžiančių atlikti įvairias funkcijas, tokias kaip garso fiksavimas iš mikrofono, nuotraukų fotografavimas, ekrano veiklos įrašymas, failų surinkimas ir trynimas, apvalkalo komandų vykdymas, įdiegtų programų ir vykdomų procesų sąrašų gavimas ir duomenų ištraukimas iš žiniatinklio naršyklių. („Safari“ ir „Google Chrome“) ir „iCloud Keychain“.
Be to, du kiti papildiniai palengvina informacijos apie kitus tam pačiam tinklui priklausančius įrenginius rinkimą, Wi-Fi tinklų, prie kurių įrenginys prijungtas, sąrašą ir išsamią informaciją apie netoliese esančius Wi-Fi tinklus.
Nepriklausomai nuo platformos, į kurią buvo nukreipta, grėsmės veikėjų grupės pagrindinis tikslas buvo perimti aukų bendravimą, įskaitant pasiuntinių pokalbius ir balso įrašus. Specialus „macOS“ įskiepis buvo sukurtas specialiai tinklo aptikimui, siekiant identifikuoti įrenginius šalia aukos vietos.
