Perisian Perisik LightSpy
Penganalisis keselamatan telah mendedahkan bahawa perisian pengintip LightSpy, pada mulanya difikirkan untuk menyasarkan pengguna Apple iOS, adalah varian macOS tanpa dokumen perisian hasad. Cerapan ini berpunca daripada pakar keselamatan siber yang memeriksa kesan yang dikaitkan dengan ancaman merentas platform ini. Rangka kerja perisian hasad berkemungkinan berpotensi untuk menjangkiti pelbagai sistem, termasuk Android, iOS, Windows, macOS dan Linux, serta penghala yang dikeluarkan oleh NETGEAR, Linksys dan ASUS.
Isi kandungan
Penjenayah Siber Mengeksploitasi Kerentanan untuk Menjangkiti Peranti dengan LightSpy
Kumpulan pelakon ancaman memanfaatkan dua eksploitasi yang tersedia secara terbuka (CVE-2018-4233, CVE-2018-4404) untuk menggunakan implan pada macOS, dengan sebahagian daripada CVE-2018-4404 berpotensi berasal daripada rangka kerja Metasploit. Eksploitasi menyasarkan macOS versi 10.
Pada mulanya dilaporkan pada tahun 2020, LightSpy telah dikaitkan dengan alat pengawasan Android bernama DragonEgg.
Pada April 2024, penyelidik mendedahkan kempen pengintipan siber yang "diperbaharui" yang ditujukan kepada pengguna di Asia Selatan, yang pada mulanya dipercayai menyampaikan LightSpy versi iOS. Walau bagaimanapun, ia telah didapati sebagai varian macOS yang lebih canggih menggunakan sistem berasaskan pemalam untuk mengumpul pelbagai jenis maklumat.
Rantaian Serangan Kempen LightSpy
Analisis menunjukkan bahawa varian macOS telah beroperasi di alam liar sejak sekurang-kurangnya Januari 2024, menyasarkan kira-kira 20 peranti, yang kebanyakannya dipercayai peranti ujian.
Urutan serangan bermula dengan eksploitasi CVE-2018-4233, kelemahan Safari WebKit, melalui halaman HTML yang mengancam, mencetuskan pelaksanaan kod. Ini membawa kepada penggunaan binari Mach-O 64-bit yang menyamar sebagai fail imej PNG.
Fungsi utama binari adalah untuk mengekstrak dan melaksanakan skrip shell, yang kemudiannya mendapatkan semula tiga muatan tambahan: eksploitasi peningkatan keistimewaan, alat penyulitan/penyahsulitan dan arkib ZIP.
Selepas ini, skrip membongkar arkib ZIP, yang mengandungi fail 'kemas kini' dan 'update.plist', dan memberikan keistimewaan root kepada kedua-duanya. Fail 'plist' memastikan kegigihan, memastikan fail lain dilancarkan selepas setiap sistem dimulakan semula.
Pemalam Memudaratkan Membenarkan Penjenayah Siber Menangkap Banyak Data
Fail 'kemas kini', juga dikenali sebagai macircloader, berfungsi sebagai pemuat untuk komponen LightSpy Core. Komponen ini membolehkan komunikasi dengan pelayan Command-and-Control (C2), membenarkan mendapatkan semula arahan dan muat turun pemalam.
Versi macOS menyokong 10 pemalam yang berbeza, membolehkan pelbagai fungsi seperti tangkapan audio daripada mikrofon, mengambil foto, merakam aktiviti skrin, menuai dan memadam fail, melaksanakan perintah shell, mendapatkan semula senarai aplikasi yang dipasang dan proses yang sedang berjalan dan mengekstrak data daripada penyemak imbas web. (Safari dan Google Chrome) dan Rantai Kunci iCloud.
Selain itu, dua pemalam lain memudahkan pengumpulan maklumat tentang peranti lain yang dimiliki oleh rangkaian yang sama, menyenaraikan rangkaian Wi-Fi yang dilampirkan peranti dan memberikan butiran tentang rangkaian Wi-Fi berdekatan.
Tanpa mengira platform yang disasarkan, matlamat utama kumpulan pelakon ancaman itu adalah untuk memintas komunikasi mangsa, termasuk perbualan utusan dan rakaman suara. Pemalam khusus untuk macOS telah dibangunkan khusus untuk penemuan rangkaian, dengan matlamat untuk mengenal pasti peranti berhampiran lokasi mangsa.
