Phần mềm gián điệp LightSpy
Các nhà phân tích bảo mật đã tiết lộ rằng phần mềm gián điệp LightSpy, ban đầu được cho là nhắm mục tiêu vào người dùng Apple iOS, là một biến thể macOS không có giấy tờ của phần mềm độc hại. Những hiểu biết sâu sắc này xuất phát từ các chuyên gia an ninh mạng đã kiểm tra các dấu vết liên quan đến mối đe dọa đa nền tảng này. Khung phần mềm độc hại có khả năng lây nhiễm nhiều loại hệ thống, bao gồm Android, iOS, Windows, macOS và Linux, cũng như các bộ định tuyến do NETGEAR, Linksys và ASUS sản xuất.
Mục lục
Tội phạm mạng khai thác lỗ hổng để lây nhiễm LightSpy vào thiết bị
Nhóm tác nhân đe dọa đã lợi dụng hai cách khai thác có sẵn công khai (CVE-2018-4233, CVE-2018-4404) để triển khai các bộ cấy trên macOS, trong đó một phần CVE-2018-4404 có khả năng bắt nguồn từ khung Metasploit. Việc khai thác nhắm vào macOS phiên bản 10.
Được báo cáo lần đầu vào năm 2020, LightSpy đã được liên kết với một công cụ giám sát Android có tên DragonEgg.
Vào tháng 4 năm 2024, các nhà nghiên cứu đã tiết lộ một chiến dịch gián điệp mạng "được đổi mới" nhằm vào người dùng ở Nam Á, ban đầu được cho là cung cấp phiên bản LightSpy trên iOS. Tuy nhiên, người ta đã phát hiện ra đây là một biến thể macOS phức tạp hơn sử dụng hệ thống dựa trên plugin để thu thập nhiều loại thông tin khác nhau.
Chuỗi tấn công của chiến dịch LightSpy
Phân tích chỉ ra rằng biến thể macOS đã hoạt động thực tế ít nhất từ tháng 1 năm 2024, nhắm mục tiêu vào khoảng 20 thiết bị, hầu hết trong số đó được cho là thiết bị thử nghiệm.
Chuỗi tấn công bắt đầu bằng việc khai thác CVE-2018-4233, một lỗ hổng Safari WebKit, thông qua các trang HTML đe dọa, kích hoạt việc thực thi mã. Điều này dẫn đến việc triển khai nhị phân Mach-O 64 bit được ngụy trang dưới dạng tệp hình ảnh PNG.
Chức năng chính của tệp nhị phân là trích xuất và thực thi tập lệnh shell, sau đó lấy ba tải trọng bổ sung: khai thác leo thang đặc quyền, công cụ mã hóa/giải mã và kho lưu trữ ZIP.
Sau đó, tập lệnh sẽ giải nén kho lưu trữ ZIP, chứa các tệp 'update' và 'update.plist', đồng thời gán đặc quyền root cho cả hai. Tệp 'plist' đảm bảo tính bền vững, đảm bảo tệp khác khởi chạy sau mỗi lần khởi động lại hệ thống.
Các plugin có hại cho phép tội phạm mạng thu thập nhiều dữ liệu
Tệp 'cập nhật', còn được gọi là macircloader, đóng vai trò là trình tải cho thành phần LightSpy Core. Thành phần này cho phép giao tiếp với máy chủ Command-and-Control (C2), cho phép truy xuất lệnh và tải xuống plugin.
Phiên bản macOS hỗ trợ 10 plugin khác nhau, hỗ trợ nhiều chức năng khác nhau như thu âm từ micrô, chụp ảnh, ghi lại hoạt động trên màn hình, thu thập và xóa tệp, thực thi lệnh shell, truy xuất danh sách các ứng dụng đã cài đặt và tiến trình đang chạy cũng như trích xuất dữ liệu từ trình duyệt web. (Safari và Google Chrome) và Chuỗi khóa iCloud.
Ngoài ra, hai plugin khác hỗ trợ thu thập thông tin về các thiết bị khác thuộc cùng một mạng, liệt kê các mạng Wi-Fi mà thiết bị đã kết nối và cung cấp thông tin chi tiết về các mạng Wi-Fi lân cận.
Bất kể nền tảng được nhắm mục tiêu là gì, mục đích chính của nhóm tác nhân đe dọa là chặn thông tin liên lạc của nạn nhân, bao gồm các cuộc trò chuyện trên tin nhắn và ghi âm giọng nói. Một plugin dành riêng cho macOS đã được phát triển đặc biệt để khám phá mạng, với mục tiêu xác định các thiết bị ở gần vị trí của nạn nhân.
