LightSpy Casus Yazılımı
Güvenlik analistleri, başlangıçta Apple iOS kullanıcılarını hedef aldığı düşünülen LightSpy casus yazılımının, kötü amaçlı yazılımın belgelenmemiş bir macOS versiyonu olduğunu ortaya çıkardı. Bu bilgiler, bu platformlar arası tehditle bağlantılı izleri inceleyen siber güvenlik uzmanlarından kaynaklanıyor. Kötü amaçlı yazılım çerçevesi muhtemelen Android, iOS, Windows, macOS ve Linux'un yanı sıra NETGEAR, Linksys ve ASUS tarafından üretilen yönlendiriciler de dahil olmak üzere çok çeşitli sistemleri etkileme potansiyeline sahiptir.
İçindekiler
Siber Suçlular LightSpy ile Cihazlara Bulaşmak İçin Güvenlik Açıklarından Yararlanıyor
Tehdit aktörü grubu, macOS'ta implantları dağıtmak için halka açık iki açıktan (CVE-2018-4233, CVE-2018-4404) yararlandı; CVE-2018-4404'ün bir kısmı potansiyel olarak Metasploit çerçevesinden kaynaklanıyordu. Açıklar macOS sürüm 10'u hedef aldı.
İlk olarak 2020'de bildirilen LightSpy, o zamandan beri DragonEgg adlı bir Android gözetim aracıyla ilişkilendirildi.
Nisan 2024'te araştırmacılar, Güney Asya'daki kullanıcıları hedef alan ve başlangıçta LightSpy'ın iOS sürümünü sunduğuna inanılan "yenilenmiş" bir siber casusluk kampanyasını açıkladılar. Ancak bunun, çeşitli bilgi türlerini toplamak için eklenti tabanlı bir sistem kullanan daha gelişmiş bir macOS çeşidi olduğu keşfedildi.
LightSpy Kampanyasının Saldırı Zinciri
Analizler, macOS versiyonunun en az Ocak 2024'ten bu yana faaliyette olduğunu ve çoğunun test cihazı olduğuna inanılan yaklaşık 20 cihazı hedef aldığını gösteriyor.
Saldırı dizisi, bir Safari WebKit güvenlik açığı olan CVE-2018-4233'ün HTML sayfalarını tehdit ederek kod yürütmeyi tetikleyerek kullanılmasıyla başlıyor. Bu, PNG görüntü dosyası olarak gizlenmiş 64 bitlik bir Mach-O ikilisinin konuşlandırılmasına yol açar.
İkili sistemin ana işlevi, daha sonra üç ek veriyi alan bir kabuk komut dosyasını çıkarmak ve yürütmektir: bir ayrıcalık yükseltme istismarı, bir şifreleme/şifre çözme aracı ve bir ZIP arşivi.
Bunu takiben komut dosyası, 'update' ve 'update.plist' dosyalarını içeren ZIP arşivini açar ve her ikisine de kök ayrıcalıkları atar. 'Plist' dosyası, sistemin her yeniden başlatılmasından sonra diğer dosyanın başlatılmasını sağlayarak kalıcılığı sağlar.
Zararlı Eklentiler Siber Suçluların Çok Sayıda Veriyi Ele Geçirmesine Olanak Sağlıyor
Macirloader olarak da bilinen 'güncelleme' dosyası LightSpy Core bileşeni için bir yükleyici görevi görür. Bu bileşen, bir Komuta ve Kontrol (C2) sunucusuyla iletişimi sağlayarak komutların alınmasına ve eklenti indirmelerine olanak tanır.
MacOS sürümü, mikrofondan ses yakalama, fotoğraf çekme, ekran etkinliğini kaydetme, dosya toplama ve silme, kabuk komutlarını yürütme, yüklü uygulamaların ve çalışan işlemlerin listelerini alma ve web tarayıcılarından veri çıkarma gibi çeşitli işlevleri etkinleştiren 10 farklı eklentiyi destekler. (Safari ve Google Chrome) ve iCloud Anahtar Zinciri.
Ek olarak, diğer iki eklenti aynı ağa ait diğer cihazlar hakkında bilgi toplamayı, cihazın bağlı olduğu Wi-Fi ağlarını listelemeyi ve yakındaki Wi-Fi ağları hakkında ayrıntılı bilgi sağlamayı kolaylaştırır.
Hedeflenen platformdan bağımsız olarak, tehdit aktörü grubunun birincil amacı, mesajlaşma konuşmaları ve ses kayıtları da dahil olmak üzere kurbanların iletişimlerine müdahale etmekti. Kurbanın bulunduğu yere yakın cihazları tespit etmek amacıyla özellikle ağ keşfi için macOS için özel bir eklenti geliştirildi.
