ЛигхтСпи шпијунски софтвер
Безбедносни аналитичари су открили да је шпијунски софтвер ЛигхтСпи, за који се првобитно мислило да циља Аппле иОС кориснике, недокументована мацОС варијанта малвера. Ови увиди потичу од стручњака за сајбер безбедност који су испитали трагове повезане са овом вишеплатформском претњом. Оквир злонамерног софтвера вероватно има потенцијал да зарази широк спектар система, укључујући Андроид, иОС, Виндовс, мацОС и Линук, као и рутере произвођача НЕТГЕАР, Линксис и АСУС.
Преглед садржаја
Сајбер криминалци користе рањивости да би заразили уређаје помоћу ЛигхтСпи-а
Група актера претњи је искористила два јавно доступна експлоатација (ЦВЕ-2018-4233, ЦВЕ-2018-4404) за постављање имплантата на мацОС, при чему део ЦВЕ-2018-4404 потенцијално потиче из оквира Метасплоит. Експлоати су циљани на мацОС верзију 10.
Првобитно објављен 2020. године, ЛигхтСпи је од тада повезан са Андроид алатом за надзор под називом ДрагонЕгг.
У априлу 2024, истраживачи су открили „обновљену“ кампању сајбер шпијунаже усмерену на кориснике у Јужној Азији, за коју се у почетку веровало да испоручује иОС верзију ЛигхтСпи-а. Међутим, откривено је да је то софистициранија варијанта мацОС-а која користи систем заснован на додацима за прикупљање различитих врста информација.
Ланац напада ЛигхтСпи кампање
Анализа показује да је варијанта мацОС оперативна у дивљини најмање од јануара 2024. године, циљајући на око 20 уређаја, од којих се већина верује да су уређаји за тестирање.
Секвенца напада почиње експлоатацијом ЦВЕ-2018-4233, Сафари ВебКит рањивости, преко претећих ХТМЛ страница, што покреће извршавање кода. Ово доводи до примене 64-битне Мацх-О бинарне датотеке прерушене у ПНГ датотеку слике.
Главна функција бинарне датотеке је да издвоји и изврши схелл скрипту, која затим преузима три додатна корисна оптерећења: експлоатацију ескалације привилегија, алат за шифровање/дешифровање и ЗИП архиву.
Након тога, скрипта распакује ЗИП архиву, која садржи датотеке 'упдате' и 'упдате.плист', и додељује роот привилегије обема. Датотека 'плист' осигурава постојаност, осигуравајући да се друга датотека покреће након сваког поновног покретања система.
Штетни додаци омогућавају сајбер криминалцима да ухвате бројне податке
Датотека 'упдате', позната и као мацирцлоадер, служи као учитавач за ЛигхтСпи Цоре компоненту. Ова компонента омогућава комуникацију са сервером за команду и контролу (Ц2), омогућавајући преузимање команди и преузимања додатака.
Верзија за мацОС подржава 10 различитих додатака, омогућавајући различите функције као што су снимање звука из микрофона, снимање фотографија, снимање активности на екрану, прикупљање и брисање датотека, извршавање команди љуске, преузимање листа инсталираних апликација и покренутих процеса и издвајање података из веб претраживача (Сафари и Гоогле Цхроме) и иЦлоуд привезак кључева.
Поред тога, два друга додатка олакшавају прикупљање информација о другим уређајима који припадају истој мрежи, наводећи Ви-Фи мреже на које је уређај прикључен и пружајући детаље о оближњим Ви-Фи мрежама.
Без обзира на циљну платформу, примарни циљ групе актера претњи био је да пресретне комуникацију жртава, укључујући разговоре путем месинџера и гласовне снимке. Наменски додатак за мацОС је развијен посебно за откривање мреже, са циљем да се идентификују уређаји у близини локације жртве.
