A MacOS számítógép-felhasználók LightSpy spyware támadástól szenvednek
A kiberbiztonsági kutatók a közelmúltban felfedezték a LightSpy kémprogram egy korábban nem dokumentált változatát, amely a macOS felhasználókat célozza meg. Az eredetileg az Apple iOS-felhasználók számára fenyegetésként azonosított felfedezés a kártevő képességeinek szélesebb körét jelzi. A Huntress Labs és a ThreatFabric egymástól függetlenül elemezte a többplatformos kártevő-keretrendszerhez kapcsolódó műtermékeket, felfedve annak lehetőségét, hogy több operációs rendszert is megfertőzhet, beleértve az Androidot, az iOS-t, a Windowst, a macOS-t, a Linuxot és még a NETGEAR, Linksys és ASUS útválasztóit is.
Table of Contents
A LightSpy által használt kihasználások
A ThreatFabric szerint a fenyegetés szereplői két nyilvánosan elérhető exploitot, a CVE-2018-4233-at és a CVE-2018-4404-et használták az implantátumok macOS rendszeren történő szállítására. Úgy tűnik, hogy a CVE-2018-4404 kihasználás egy része a Metasploit keretrendszerből származik, és kifejezetten a macOS 10-es verzióját célozza meg.
Evolúció és kapcsolat más rosszindulatú programokkal
A LightSpy-ről először 2020-ban számoltak be nyilvánosan. A Lookout és egy holland mobilbiztonsági cég későbbi vizsgálatai lehetséges kapcsolatokat javasoltak a LightSpy és a DragonEgg néven ismert Android megfigyelőeszköz között. Áprilisban a BlackBerry nyilvánosságra hozott egy megújult kiberkémkampányt, amely dél-ázsiai felhasználókat céloz meg, és a LightSpy iOS-verzióját szállítja. Most azonban kiderült, hogy egy kifinomultabb macOS-változat beépülő modul-alapú rendszert alkalmaz különféle típusú információk összegyűjtésére.
Jelenlegi kampány és hatókör
Míg a kémprogram mintáját a közelmúltban töltötték fel Indiából a VirusTotal oldalára, a Huntress kutatói, Stuart Ashenbrenner és Alden Schmidt óva intenek attól, hogy konkrét bizonyítékok nélkül elhamarkodott következtetéseket vonjanak le aktív kampányról vagy regionális célzásról. A ThreatFabric elemzése szerint ez a macOS-változat legalább 2024 januárja óta aktív, bár úgy tűnik, hogy körülbelül 20 teszteszközre korlátozódik.
Támadási mechanizmus
A támadás a CVE-2018-4233, a Safari WebKit biztonsági résének kihasználásával indul, rosszindulatú HTML-oldalakon keresztül kód futtatására. Ez egy 64 bites Mach-O bináris PNG-képfájlnak álcázott kézbesítéséhez vezet. A bináris ezután kibontja és lefuttat egy shell-szkriptet, amely további hasznos terheléseket kér le: egy jogosultság-eszkalációs exploitot, egy titkosító/visszafejtő segédprogramot és egy ZIP-archívumot. A szkript root jogosultságokat rendel a kibontott fájlokhoz, beállítva a kémprogramok fennmaradását a rendszer újraindítása után.
A LightSpy képességei
A LightSpy macOS verziója tíz, különféle rosszindulatú tevékenységekhez tervezett beépülő modult támogat. Ezek közé tartozik a hangrögzítés a mikrofonból, a fotók készítése, a képernyőtevékenység rögzítése, a fájlok begyűjtése és törlése, a shell-parancsok végrehajtása, a telepített alkalmazások és a futó folyamatok listázása, valamint az adatok kinyerése a webböngészőkből (Safari és Google Chrome) és az iCloud Keychain. Ezenkívül a beépülő modulok lehetővé teszik az ugyanazon a hálózaton lévő más eszközökről szóló információk rögzítését, azon Wi-Fi-hálózatok listáját, amelyekhez az eszköz csatlakozott, valamint a közeli Wi-Fi-hálózatok részleteit.
Parancs- és vezérlési infrastruktúra
A LightSpy Core komponens kapcsolatot létesít egy parancs- és vezérlőkiszolgálóval (C2), lehetővé téve a parancsok fogadását és a bővítmények letöltését. Mind a Core, mind a pluginok dinamikusan frissíthetők C2 parancsokkal. A ThreatFabric olyan hibás konfigurációt fedezett fel, amely lehetővé tette a hozzáférést a C2 panelhez, amely információkat tartalmazott az áldozatokról és a hozzájuk tartozó adatokról.
A mobil fenyegetések tágabb kontextusa
Ez a felfedezés a mobileszközöket célzó rosszindulatú programok nagyobb trendjének része. Az Android-eszközöket például olyan ismert banki trójaikkal támadták meg, mint a BankBot és a SpyNote, különösen Üzbegisztánban és Brazíliában, valamint egy mexikói távközlési szolgáltató megszemélyesítésével, hogy megfertőzzék a felhasználókat Latin-Amerikában és a Karib-térségben. Ezzel párhuzamosan az Access Now és a Citizen Lab Pegasus spyware támadásokról számolt be orosz és fehéroroszul beszélő aktivisták és újságírók ellen Lettországban, Litvániában és Lengyelországban. Ezek a támadások, amelyek legalább 2020-ra nyúlnak vissza, felerősödtek, miután Oroszország 2022 februárjában megtámadta Ukrajnát. A Pegasus kémprogramokat gyártó NSO Group kijelentette, hogy eszközeit csak Izraellel és az Egyesült Államokkal szövetséges országoknak adja el, és megígérte, hogy kivizsgálja ezeket a jelentéseket. .
A LightSpy spyware macOS-változatának felfedezése rávilágít a kiberfenyegetések fejlődő és kifinomult természetére. Ez a fejlesztés hangsúlyozza a robusztus kiberbiztonsági intézkedések és a folyamatos éberség fontosságát minden platformon, hogy megvédjék a felhasználókat az ilyen terjedő és adaptív rosszindulatú programoktól.