LightSpy Шпионское ПО
Аналитики безопасности обнаружили, что шпионское ПО LightSpy, изначально предназначенное для пользователей Apple iOS, представляет собой недокументированный вариант вредоносного ПО для macOS. Эти выводы исходят от специалистов по кибербезопасности, которые изучили следы, связанные с этой кроссплатформенной угрозой. Платформа вредоносного ПО, вероятно, потенциально может заразить широкий спектр систем, включая Android, iOS, Windows, macOS и Linux, а также маршрутизаторы производства NETGEAR, Linksys и ASUS.
Оглавление
Киберпреступники используют уязвимости для заражения устройств с помощью LightSpy
Группа злоумышленников использовала два общедоступных эксплойта (CVE-2018-4233, CVE-2018-4404) для развертывания имплантатов в macOS, при этом часть CVE-2018-4404 потенциально возникла из среды Metasploit. Эксплойты были нацелены на macOS версии 10.
Первоначально сообщалось в 2020 году, что LightSpy с тех пор был связан с инструментом наблюдения для Android под названием DragonEgg.
В апреле 2024 года исследователи раскрыли «обновленную» кампанию кибершпионажа, направленную на пользователей в Южной Азии, которая первоначально предполагала выпуск версии LightSpy для iOS. Однако выяснилось, что это более сложный вариант macOS, использующий систему на основе плагинов для сбора различных типов информации.
Цепочка атак кампании LightSpy
Анализ показывает, что вариант macOS работает как минимум с января 2024 года и ориентирован примерно на 20 устройств, большинство из которых считаются тестовыми.
Последовательность атак начинается с эксплуатации CVE-2018-4233, уязвимости Safari WebKit, посредством угрожающих HTML-страниц, запускающих выполнение кода. Это приводит к развертыванию 64-битного двоичного файла Mach-O, замаскированного под файл изображения PNG.
Основная функция двоичного файла — извлечение и выполнение сценария оболочки, который затем извлекает три дополнительных полезных данных: эксплойт повышения привилегий, инструмент шифрования/дешифрования и ZIP-архив.
После этого скрипт распаковывает ZIP-архив, содержащий файлы update и update.plist, и присваивает обоим root-права. Файл «plist» обеспечивает постоянство, гарантируя запуск другого файла после каждого перезапуска системы.
Вредные плагины позволяют киберпреступникам перехватывать многочисленные данные
Файл обновления, также известный как macircloader, служит загрузчиком компонента LightSpy Core. Этот компонент обеспечивает связь с сервером управления и контроля (C2), позволяя получать команды и загружать плагины.
Версия для macOS поддерживает 10 различных плагинов, обеспечивающих различные функции, такие как захват звука с микрофона, фотографирование, запись активности экрана, сбор и удаление файлов, выполнение команд оболочки, получение списков установленных приложений и запущенных процессов, а также извлечение данных из веб-браузеров. (Safari и Google Chrome) и «Связка ключей iCloud».
Кроме того, два других плагина облегчают сбор информации о других устройствах, принадлежащих к той же сети, перечисляя сети Wi-Fi, к которым подключено устройство, и предоставляя подробную информацию о близлежащих сетях Wi-Fi.
Независимо от целевой платформы, основной целью группы злоумышленников был перехват сообщений жертвы, включая разговоры в мессенджерах и голосовые записи. Специальный плагин для macOS был разработан специально для обнаружения сети с целью идентификации устройств рядом с местоположением жертвы.
