LightSpy 間諜軟體

安全分析師透露，最初認為針對 Apple iOS 用戶的 LightSpy 間諜軟體是該惡意軟體的一個未記錄的 macOS 變體。這些見解源自於網路安全專家，他們檢視了與這種跨平台威脅相關的痕跡。這個惡意軟體框架可能會感染多種系統，包括 Android、iOS、Windows、macOS 和 Linux，以及 NETGEAR、Linksys 和 ASUS 製造的路由器。

網路犯罪分子利用 LightSpy 漏洞感染設備

該威脅組織利用兩個公開可用的漏洞（CVE-2018-4233、CVE-2018-4404）在 macOS 上部署植入程序，其中部分 CVE-2018-4404 可能源自 Metasploit 框架。漏洞針對的是 macOS 版本 10。

LightSpy 最初於 2020 年被報道，此後已與名為 DragonEgg 的 Android 監控工具相關聯。

2024 年 4 月，研究人員披露了一項針對南亞用戶的「新的」網路間諜活動，最初被認為是提供 iOS 版本的 LightSpy。然而，發現它是一個更複雜的 macOS 變體，利用基於插件的系統來收集各種類型的信息。

LightSpy 活動的攻擊鏈

分析表明，macOS 變種至少自 2024 年 1 月起就開始在野外運行，目標約為 20 台設備，其中大多數被認為是測試設備。

此攻擊序列首先利用 Safari WebKit 漏洞 CVE-2018-4233，透過威脅 HTML 頁面觸發程式碼執行。這導致部署偽裝成 PNG 映像檔的 64 位元 Mach-O 二進位。

這個二進位檔案的主要功能是提取並執行 shell 腳本，然後檢索三個額外的有效負載：權限升級漏洞、加密/解密工具和 ZIP 檔案。

接下來，腳本解壓縮 ZIP 存檔，其中包含“update”和“update.plist”文件，並為這兩個文件分配 root 權限。 「plist」檔案確保持久性，確保每次系統重新啟動後都會啟動其他檔案。

有害外掛程式允許網路犯罪分子捕獲大量數據

「更新」檔案也稱為 macircloader，用作 LightSpy Core 元件的載入程式。此元件支援與命令和控制 (C2) 伺服器進行通信，從而允許檢索命令和插件下載。

macOS 版本支援10 個不同的插件，可實現各種功能，例如從麥克風捕獲音訊、拍照、記錄螢幕活動、收集和刪除檔案、執行shell 命令、檢索已安裝應用程式和正在運行的進程的清單以及從Web 瀏覽器擷取資料（Safari 和 Google Chrome）和 iCloud 鑰匙圈。

此外，另外兩個插件有助於收集有關屬於同一網路的其他裝置的信息，列出裝置已連接的 Wi-Fi 網路並提供有關附近 Wi-Fi 網路的詳細資訊。

無論目標平台如何，威脅行為者組織的主要目標都是攔截受害者的通信，包括信差對話和錄音。 macOS 的專用插件是專門為網路發現而開發的，目的是識別受害者位置附近的裝置。