MacOS コンピュータ ユーザーが LightSpy スパイウェア攻撃に悩まされる
サイバーセキュリティ研究者は最近、macOS ユーザーをターゲットとする、これまで文書化されていなかった LightSpy スパイウェアの亜種を発見しました。当初は Apple iOS ユーザーへの脅威として特定されていましたが、今回の発見はマルウェアの能力の範囲が広いことを示しています。Huntress Labs と ThreatFabric は、このクロスプラットフォーム マルウェア フレームワークに関連するアーティファクトを独自に分析し、Android、iOS、Windows、macOS、Linux、さらには NETGEAR、Linksys、ASUS のルーターを含む複数のオペレーティング システムに感染する可能性があることを明らかにしました。
Table of Contents
LightSpy が使用するエクスプロイト
ThreatFabric によると、脅威アクターは、macOS にインプラントを配信するために、公開されている 2 つのエクスプロイト、CVE-2018-4233 と CVE-2018-4404 を利用しました。特に、CVE-2018-4404 エクスプロイトの一部は、macOS バージョン 10 を具体的にターゲットとする Metasploit フレームワークから派生したものと思われます。
進化と他のマルウェアとのつながり
LightSpy が初めて公に報告されたのは 2020 年です。その後 Lookout とオランダのモバイル セキュリティ企業による調査で、LightSpy と DragonEgg と呼ばれる Android 監視ツールとの間に関連性がある可能性が示唆されました。4 月には BlackBerry が南アジアのユーザーをターゲットにした新たなサイバー スパイ活動を発表し、LightSpy の iOS 版を配信しました。しかし、より洗練された macOS の亜種では、プラグイン ベースのシステムを使用してさまざまな種類の情報を収集していることが判明しました。
現在のキャンペーンと範囲
このスパイウェアのサンプルは最近インドからVirusTotalにアップロードされたが、ハントレスの研究者スチュアート・アシェンブレナー氏とアルデン・シュミット氏は、より具体的な証拠がなければ、活動中の攻撃や地域的な標的について結論を急ぐべきではないと警告している。ThreatFabricの分析によると、このmacOSの亜種は少なくとも2024年1月から活動しているが、テストデバイス約20台に限定されているようだ。
攻撃メカニズム
この攻撃は、悪意のある HTML ページを介して Safari WebKit の脆弱性 CVE-2018-4233 を悪用してコードを実行することから始まります。これにより、PNG 画像ファイルに偽装された 64 ビット Mach-O バイナリが配信されます。次に、バイナリは、権限昇格エクスプロイト、暗号化/復号化ユーティリティ、ZIP アーカイブなどの追加のペイロードを取得するシェル スクリプトを抽出して実行します。スクリプトは、抽出されたファイルにルート権限を割り当て、システムの再起動後にスパイウェアが起動するように永続性を設定します。
LightSpyの機能
LightSpy の macOS バージョンは、さまざまな悪意のあるアクティビティ用に設計された 10 個のプラグインをサポートしています。これには、マイクからの音声のキャプチャ、写真の撮影、画面アクティビティの記録、ファイルの収集と削除、シェル コマンドの実行、インストールされたアプリケーションと実行中のプロセスの一覧表示、Web ブラウザー (Safari と Google Chrome) と iCloud キーチェーンからのデータの抽出が含まれます。さらに、プラグインを使用すると、同じネットワーク上の他のデバイスに関する情報、デバイスが接続した Wi-Fi ネットワークの一覧、近くの Wi-Fi ネットワークの詳細をキャプチャできます。
コマンドアンドコントロールインフラストラクチャ
LightSpy Core コンポーネントは、コマンド アンド コントロール (C2) サーバーとの接続を確立し、コマンドを受信してプラグインをダウンロードできるようにします。Core とプラグインは両方とも、C2 コマンドを介して動的に更新できます。ThreatFabric は、被害者に関する情報と関連データを含む C2 パネルへのアクセスを許可する誤った構成を発見しました。
モバイル脅威のより広い文脈
この発見は、モバイルデバイスを標的とするマルウェアの大きなトレンドの一部です。たとえば、Androidデバイスは、特にウズベキスタンとブラジルでBankBotやSpyNoteなどの既知のバンキング型トロイの木馬による攻撃を受けており、メキシコの通信事業者になりすましてラテンアメリカとカリブ海諸国のユーザーに感染しています。同時に、Access NowとCitizen Labは、ラトビア、リトアニア、ポーランドのロシア語とベラルーシ語を話す活動家やジャーナリストに対するPegasusスパイウェア攻撃を報告しました。少なくとも2020年にさかのぼるこれらの攻撃は、2022年2月のロシアによるウクライナ侵攻後に激化しています。Pegasusスパイウェアを製造しているNSOグループは、イスラエルと米国と同盟を組んでいる国にのみツールを販売していると述べ、これらの報告を調査することを約束しました。
macOS 向けの LightSpy スパイウェアの亜種の発見は、サイバー脅威の進化と高度化を浮き彫りにしています。この展開は、このような蔓延し適応力のあるマルウェアからユーザーを保護するために、すべてのプラットフォームで強力なサイバーセキュリティ対策と継続的な警戒が重要であることを強調しています。