LightSpy spiegprogrammatūra
Drošības analītiķi ir atklājuši, ka LightSpy spiegprogrammatūra, kas sākotnēji bija paredzēta Apple iOS lietotājiem, ir nedokumentēta ļaunprogrammatūras MacOS versija. Šīs atziņas izriet no kiberdrošības speciālistiem, kuri pārbaudīja pēdas, kas saistītas ar šo starpplatformu apdraudējumu. Ļaunprātīgajai programmatūrai, visticamāk, ir potenciāls inficēt plašu sistēmu klāstu, tostarp Android, iOS, Windows, macOS un Linux, kā arī maršrutētājus, ko ražo NETGEAR, Linksys un ASUS.
Satura rādītājs
Kibernoziedznieki izmanto ievainojamības, lai inficētu ierīces ar LightSpy
Apdraudējuma dalībnieku grupa izmantoja divus publiski pieejamus paņēmienus (CVE-2018-4233, CVE-2018-4404), lai izvietotu implantus operētājsistēmā macOS, un daļa no CVE-2018-4404, iespējams, ir no Metasploit sistēmas. Tiek izmantota mērķtiecīga macOS versija 10.
Sākotnēji tika ziņots 2020. gadā, LightSpy kopš tā laika ir bijis saistīts ar Android novērošanas rīku DragonEgg.
2024. gada aprīlī pētnieki atklāja "atjaunotu" kiberspiegošanas kampaņu, kas paredzēta lietotājiem Dienvidāzijā, un sākotnēji tika uzskatīts, ka tā nodrošina LightSpy iOS versiju. Tomēr ir atklāts, ka tas ir sarežģītāks macOS variants, kurā tiek izmantota uz spraudņiem balstīta sistēma dažāda veida informācijas vākšanai.
LightSpy kampaņas uzbrukuma ķēde
Analīze liecina, ka macOS variants savvaļā darbojas vismaz kopš 2024. gada janvāra, mērķējot uz aptuveni 20 ierīcēm, no kurām lielākā daļa tiek uzskatīta par testa ierīcēm.
Uzbrukuma secība sākas, izmantojot CVE-2018-4233, Safari WebKit ievainojamību, apdraudot HTML lapas, izraisot koda izpildi. Tas noved pie 64 bitu Mach-O bināra izvietošanas, kas slēpts kā PNG attēla fails.
Binārā faila galvenā funkcija ir iegūt un izpildīt čaulas skriptu, kas pēc tam izgūst trīs papildu slodzes: privilēģiju eskalācijas izmantošanu, šifrēšanas/atšifrēšanas rīku un ZIP arhīvu.
Pēc tam skripts izpako ZIP arhīvu, kurā ir faili “update” un “update.plist”, un abiem piešķir saknes tiesības. “Plist” fails nodrošina noturību, nodrošinot cita faila palaišanu pēc katras sistēmas restartēšanas.
Kaitīgi spraudņi ļauj kibernoziedzniekiem tvert daudzus datus
Atjaunināšanas fails, kas pazīstams arī kā macircloader, kalpo kā LightSpy Core komponenta ielādētājs. Šis komponents nodrošina saziņu ar Command-and-Control (C2) serveri, ļaujot izgūt komandas un lejupielādēt spraudņus.
MacOS versija atbalsta 10 dažādus spraudņus, kas nodrošina dažādas funkcijas, piemēram, audio uztveršanu no mikrofona, fotoattēlu uzņemšanu, ekrāna aktivitāšu ierakstīšanu, failu ievākšanu un dzēšanu, čaulas komandu izpildi, instalēto lietojumprogrammu un darbīgo procesu sarakstu izgūšanu un datu izvilkšanu no tīmekļa pārlūkprogrammām. (Safari un Google Chrome) un iCloud Keychain.
Turklāt divi citi spraudņi atvieglo informācijas vākšanu par citām ierīcēm, kas pieder vienam tīklam, uzskaitot Wi-Fi tīklus, kuriem ierīce ir pievienojusi, un sniedzot informāciju par tuvumā esošajiem Wi-Fi tīkliem.
Neatkarīgi no platformas, uz kuru tika vērsta mērķauditorija, draudu dalībnieku grupas galvenais mērķis bija pārtvert upuru saziņu, tostarp kurjeru sarunas un balss ierakstus. Īpašs spraudnis operētājsistēmai MacOS tika izstrādāts īpaši tīkla atklāšanai ar mērķi identificēt ierīces upura atrašanās vietas tuvumā.
