„MacOS“ kompiuterių vartotojai kenčia nuo „LightSpy“ šnipinėjimo programų atakos
Kibernetinio saugumo tyrinėtojai neseniai atskleidė anksčiau nedokumentuotą „LightSpy“ šnipinėjimo programos variantą, skirtą „MacOS“ naudotojams. Iš pradžių įvardytas kaip grėsmė „Apple iOS“ naudotojams, šis atradimas rodo platesnę kenkėjiškos programos galimybių sritį. „Huntress Labs“ ir „ThreatFabric“ nepriklausomai išanalizavo artefaktus, susijusius su šia kelių platformų kenkėjiškų programų sistema, atskleisdami jos potencialą užkrėsti kelias operacines sistemas, įskaitant „Android“, „iOS“, „Windows“, „MacOS“, „Linux“ ir net maršrutizatorius iš NETGEAR, Linksys ir ASUS.
Table of Contents
„LightSpy“ naudojami išnaudojimai
„ThreatFabric“ teigimu, grėsmės veikėjai panaudojo du viešai prieinamus išnaudojimus – CVE-2018-4233 ir CVE-2018-4404, kad pristatytų implantus „macOS“. Pažymėtina, kad dalis CVE-2018-4404 išnaudojimo yra kilusi iš „Metasploit“ sistemos, skirtos konkrečiai „MacOS 10“ versijai.
Evoliucija ir ryšys su kitomis kenkėjiškomis programomis
Pirmą kartą apie „LightSpy“ buvo pranešta viešai 2020 m. Vėlesni „Lookout“ ir Nyderlandų mobiliojo ryšio saugos įmonės tyrimai parodė galimus ryšius tarp „LightSpy“ ir „Android“ stebėjimo įrankio, žinomo kaip „DragonEgg“. Balandžio mėnesį „BlackBerry“ paskelbė atnaujintą kibernetinio šnipinėjimo kampaniją, skirtą Pietų Azijos vartotojams, pristatydama „iOS“ „LightSpy“ versiją. Tačiau dabar buvo nustatyta, kad sudėtingesniame „macOS“ variante naudojama įskiepiu pagrįsta sistema įvairių tipų informacijai rinkti.
Dabartinė kampanija ir taikymo sritis
Nors neseniai į „VirusTotal“ iš Indijos buvo įkeltas šnipinėjimo programų pavyzdys, „Huntress“ tyrinėtojai Stuartas Ashenbrenneris ir Aldenas Schmidtas perspėja nedaryti skubotų išvadų apie aktyvią kampaniją ar regioninį taikymą be konkretesnių įrodymų. „ThreatFabric“ analizė rodo, kad šis „macOS“ variantas buvo aktyvus mažiausiai nuo 2024 m. sausio mėn., nors atrodo, kad jis yra apribotas maždaug 20 bandomųjų įrenginių.
Atakos mechanizmas
Ataka pradedama naudojant CVE-2018-4233, „Safari WebKit“ pažeidžiamumą, per kenkėjiškus HTML puslapius, kad būtų vykdomas kodas. Dėl to pristatomas 64 bitų Mach-O dvejetainis failas, užmaskuotas kaip PNG vaizdo failas. Tada dvejetainis failas ištraukia ir paleidžia apvalkalo scenarijų, kuris paima papildomus naudingus krovinius: privilegijų eskalavimo išnaudojimą, šifravimo / iššifravimo įrankį ir ZIP archyvą. Scenarijus išskleistiems failams priskiria pagrindines teises, nustatydamas šnipinėjimo programų išlikimą, kad ji būtų paleista iš naujo paleidus sistemą.
„LightSpy“ galimybės
„LightSpy“ macOS versija palaiko dešimt įskiepių, skirtų įvairiai kenkėjiškai veiklai. Tai apima garso fiksavimą iš mikrofono, nuotraukų darymą, ekrano veiklos įrašymą, failų rinkimą ir trynimą, apvalkalo komandų vykdymą, įdiegtų programų ir vykdomų procesų sąrašą bei duomenų ištraukimą iš žiniatinklio naršyklių („Safari“ ir „Google Chrome“) bei „iCloud Keychain“. Be to, papildiniai leidžia užfiksuoti informaciją apie kitus tame pačiame tinkle esančius įrenginius, „Wi-Fi“ tinklų, prie kurių įrenginys prisijungė, sąrašą ir informaciją apie netoliese esančius „Wi-Fi“ tinklus.
Komandų ir valdymo infrastruktūra
„LightSpy Core“ komponentas užmezga ryšį su komandų ir valdymo (C2) serveriu, leidžiančiu gauti komandas ir atsisiųsti papildinius. Tiek Core, tiek papildinius galima atnaujinti dinamiškai naudojant C2 komandas. ThreatFabric aptiko netinkamą konfigūraciją, leidžiančią pasiekti C2 skydelį, kuriame buvo informacija apie aukas ir su jomis susijusius duomenis.
Platesnis mobiliųjų telefonų grėsmių kontekstas
Šis atradimas yra dalis didesnės kenkėjiškų programų, nukreiptų į mobiliuosius įrenginius, tendencijos. Pavyzdžiui, „Android“ įrenginiai buvo užpulti žinomomis bankininkystės Trojos arklys, tokiais kaip „BankBot“ ir „SpyNote“, ypač Uzbekistane ir Brazilijoje, ir apsimetant Meksikos telekomunikacijų paslaugų teikėju, siekiant užkrėsti vartotojus Lotynų Amerikoje ir Karibų jūros regione. Tuo pat metu „Access Now“ ir „Citizen Lab“ pranešė apie „Pegasus“ šnipinėjimo atakas prieš rusiškai ir baltarusiškai kalbančius aktyvistus ir žurnalistus Latvijoje, Lietuvoje ir Lenkijoje. Šios atakos, pradėtos mažiausiai 2020 m., sustiprėjo po Rusijos invazijos į Ukrainą 2022 m. vasario mėn. NSO grupė, gaminanti šnipinėjimo programas Pegasus, pareiškė parduodanti savo įrankius tik su Izraeliu ir JAV sąjungininkėms šalims ir pažadėjo ištirti šiuos pranešimus. .
„MacOS“ skirto „LightSpy“ šnipinėjimo programos varianto atradimas išryškina besikeičiantį ir sudėtingą kibernetinių grėsmių pobūdį. Ši plėtra pabrėžia tvirtų kibernetinio saugumo priemonių ir nuolatinio budrumo visose platformose svarbą, siekiant apsaugoti vartotojus nuo tokių plačiai paplitusių ir prisitaikančių kenkėjiškų programų.