Шпигунське програмне забезпечення LightSpy
Аналітики безпеки виявили, що шпигунське програмне забезпечення LightSpy, яке спочатку вважалося націленим на користувачів Apple iOS, є незадокументованим варіантом шкідливого програмного забезпечення для macOS. Ці висновки походять від фахівців з кібербезпеки, які досліджували сліди, пов’язані з цією міжплатформною загрозою. Фреймворк зловмисного програмного забезпечення, ймовірно, може заразити широкий спектр систем, включаючи Android, iOS, Windows, macOS і Linux, а також маршрутизатори виробництва NETGEAR, Linksys і ASUS.
Зміст
Кіберзлочинці використовують уразливості для зараження пристроїв за допомогою LightSpy
Група учасників загрози використала два загальнодоступні експлойти (CVE-2018-4233, CVE-2018-4404) для розгортання імплантів у macOS, причому частина CVE-2018-4404 потенційно походить із середовища Metasploit. Експлойти були націлені на macOS версії 10.
Спочатку повідомлялося в 2020 році, LightSpy згодом був пов’язаний з інструментом стеження Android під назвою DragonEgg.
У квітні 2024 року дослідники оприлюднили «оновлену» кампанію кібершпигунства, спрямовану на користувачів у Південній Азії, спочатку вважалося, що вона постачає версію LightSpy для iOS. Однак було виявлено, що це більш складний варіант macOS, який використовує систему на основі плагінів для збору різних типів інформації.
Ланцюг атак кампанії LightSpy
Аналіз показує, що варіант macOS працює в дикій природі принаймні з січня 2024 року, націлений приблизно на 20 пристроїв, більшість з яких, як вважають, є тестовими.
Послідовність атаки починається з експлуатації CVE-2018-4233, уразливості Safari WebKit, через загрозливі сторінки HTML, що запускає виконання коду. Це призводить до розгортання 64-бітного двійкового Mach-O, замаскованого під файл зображення PNG.
Основною функцією двійкового файлу є видобуток і виконання сценарію оболонки, який потім отримує три додаткових корисних навантаження: експлойт підвищення привілеїв, інструмент шифрування/дешифрування та ZIP-архів.
Після цього сценарій розпаковує ZIP-архів, що містить файли 'update' і 'update.plist', і призначає привілеї root для обох. Файл 'plist' забезпечує постійність, забезпечуючи запуск іншого файлу після кожного перезавантаження системи.
Шкідливі плагіни дозволяють кіберзлочинцям отримувати численні дані
Файл «оновлення», також відомий як macircloader, служить завантажувачем для компонента LightSpy Core. Цей компонент забезпечує зв’язок із сервером командування та керування (C2), надаючи змогу отримувати команди та завантажувати плагіни.
Версія для macOS підтримує 10 різних плагінів, які забезпечують різні функції, такі як захоплення аудіо з мікрофона, фотографування, запис активності на екрані, збір і видалення файлів, виконання команд оболонки, отримання списків встановлених програм і запущених процесів, а також вилучення даних із веб-браузерів. (Safari та Google Chrome) і iCloud Keychain.
Крім того, два інших плагіни полегшують збір інформації про інші пристрої, що належать до тієї ж мережі, перераховуючи мережі Wi-Fi, до яких під’єднано пристрій, і надають інформацію про мережі Wi-Fi поблизу.
Незалежно від цільової платформи, основною метою групи зловмисників було перехоплення комунікацій жертв, зокрема розмов у месенджерах і голосових записів. Спеціальний плагін для macOS був розроблений спеціально для виявлення мережі з метою ідентифікації пристроїв поблизу місця розташування жертви.
