LightSpy สปายแวร์

นักวิเคราะห์ความปลอดภัยได้เปิดเผยว่าสปายแวร์ LightSpy ซึ่งเริ่มแรกคิดว่ากำหนดเป้าหมายผู้ใช้ Apple iOS นั้นเป็นมัลแวร์ในรูปแบบ macOS ที่ไม่มีเอกสาร ข้อมูลเชิงลึกเหล่านี้มาจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ตรวจสอบร่องรอยที่เชื่อมโยงกับภัยคุกคามข้ามแพลตฟอร์มนี้ เฟรมเวิร์กมัลแวร์มีแนวโน้มที่จะแพร่ระบาดไปยังระบบต่างๆ มากมาย รวมถึง Android, iOS, Windows, macOS และ Linux รวมถึงเราเตอร์ที่ผลิตโดย NETGEAR, Linksys และ ASUS

อาชญากรไซเบอร์ใช้ประโยชน์จากช่องโหว่เพื่อแพร่เชื้ออุปกรณ์ด้วย LightSpy

กลุ่มผู้แสดงภัยคุกคามใช้ประโยชน์จากการหาประโยชน์ที่เปิดเผยต่อสาธารณะสองรายการ (CVE-2018-4233, CVE-2018-4404) เพื่อปรับใช้การปลูกถ่ายบน macOS โดยส่วนหนึ่งของ CVE-2018-4404 อาจมีต้นกำเนิดมาจากเฟรมเวิร์ก Metasploit การหาประโยชน์ดังกล่าวมุ่งเป้าไปที่ macOS เวอร์ชัน 10

รายงานครั้งแรกในปี 2020 LightSpy ได้รับการเชื่อมโยงกับเครื่องมือเฝ้าระวัง Android ชื่อ DragonEgg

ในเดือนเมษายน พ.ศ. 2567 นักวิจัยได้เปิดเผยแคมเปญจารกรรมทางไซเบอร์ที่ "ต่ออายุ" ซึ่งมุ่งเป้าไปที่ผู้ใช้ในเอเชียใต้ ซึ่งในตอนแรกเชื่อว่าจะส่งมอบ LightSpy เวอร์ชัน iOS อย่างไรก็ตาม มีการค้นพบว่าเป็นเวอร์ชัน macOS ที่ซับซ้อนกว่าซึ่งใช้ระบบที่ใช้ปลั๊กอินเพื่อรวบรวมข้อมูลประเภทต่างๆ

ห่วงโซ่การโจมตีของแคมเปญ LightSpy

การวิเคราะห์บ่งชี้ว่าเวอร์ชัน macOS นั้นมีการใช้งานอย่างแพร่หลายตั้งแต่อย่างน้อยเดือนมกราคม 2024 โดยกำหนดเป้าหมายไปที่อุปกรณ์ประมาณ 20 เครื่อง ซึ่งส่วนใหญ่เชื่อว่าเป็นอุปกรณ์ทดสอบ

ลำดับการโจมตีเริ่มต้นด้วยการใช้ประโยชน์จาก CVE-2018-4233 ซึ่งเป็นช่องโหว่ของ Safari WebKit ผ่านหน้า HTML ที่คุกคาม และกระตุ้นให้มีการเรียกใช้โค้ด สิ่งนี้นำไปสู่การปรับใช้ไบนารี Mach-O 64 บิตซึ่งปลอมตัวเป็นไฟล์รูปภาพ PNG

ฟังก์ชันหลักของไบนารี่คือการแยกและรันเชลล์สคริปต์ ซึ่งจะดึงข้อมูลเพย์โหลดเพิ่มเติมสามรายการ ได้แก่ การใช้ประโยชน์จากการยกระดับสิทธิ์ เครื่องมือเข้ารหัส/ถอดรหัส และไฟล์เก็บถาวร ZIP

ต่อไปนี้ สคริปต์จะแตกไฟล์ ZIP ซึ่งมีไฟล์ 'update' และ 'update.plist' และกำหนดสิทธิ์ root ให้กับทั้งสองไฟล์ ไฟล์ 'plist' ช่วยให้มั่นใจได้ถึงความคงอยู่ โดยรับประกันว่าไฟล์อื่นจะเปิดขึ้นหลังจากรีสตาร์ทระบบแต่ละครั้ง

ปลั๊กอินที่เป็นอันตรายทำให้อาชญากรไซเบอร์สามารถรวบรวมข้อมูลจำนวนมากได้

ไฟล์ 'อัปเดต' หรือที่เรียกว่า macirloader ทำหน้าที่เป็นตัวโหลดสำหรับส่วนประกอบ LightSpy Core ส่วนประกอบนี้ช่วยให้สามารถสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ซึ่งช่วยให้สามารถดึงคำสั่งและดาวน์โหลดปลั๊กอินได้

เวอร์ชัน macOS รองรับปลั๊กอินที่แตกต่างกัน 10 แบบ เปิดใช้งานฟังก์ชันต่างๆ เช่น การจับเสียงจากไมโครโฟน การถ่ายภาพ กิจกรรมหน้าจอการบันทึก การเก็บเกี่ยวและการลบไฟล์ การรันคำสั่งเชลล์ การดึงรายการแอปพลิเคชันที่ติดตั้งและกระบวนการที่ทำงานอยู่ และการดึงข้อมูลจากเว็บเบราว์เซอร์ (Safari และ Google Chrome) และพวงกุญแจ iCloud

นอกจากนี้ ปลั๊กอินอีกสองปลั๊กอินยังอำนวยความสะดวกในการรวบรวมข้อมูลเกี่ยวกับอุปกรณ์อื่นๆ ที่อยู่ในเครือข่ายเดียวกัน แสดงรายการเครือข่าย Wi-Fi ที่อุปกรณ์ได้เชื่อมต่อไว้ และให้รายละเอียดเกี่ยวกับเครือข่าย Wi-Fi ในบริเวณใกล้เคียง

ไม่ว่าแพลตฟอร์มจะเป็นเป้าหมายใดก็ตาม เป้าหมายหลักของกลุ่มผู้แสดงภัยคุกคามคือการสกัดกั้นการสื่อสารของเหยื่อ รวมถึงการสนทนาของ Messenger และการบันทึกเสียง ปลั๊กอินเฉพาะสำหรับ macOS ได้รับการพัฒนาโดยเฉพาะสำหรับการค้นพบเครือข่าย โดยมีเป้าหมายในการระบุอุปกรณ์ที่อยู่ใกล้ตำแหน่งของเหยื่อ