MacOS 電腦使用者遭受 LightSpy 間諜軟體攻擊
網路安全研究人員最近發現了一個以前未記錄的 LightSpy 間諜軟體變體,該變體針對 macOS 用戶。這項發現最初被確定為對 Apple iOS 用戶的威脅,但表明該惡意軟體的功能範圍更廣。 Huntress Labs 和 ThreatFabric 獨立分析了與此跨平台惡意軟體框架相關的工件,揭示了其感染多個作業系統的潛力,包括 Android、iOS、Windows、macOS、Linux,甚至來自 NETGEAR、Linksys 和 ASUS 的路由器。
Table of Contents
LightSpy 使用的漏洞
據 ThreatFabric 稱,威脅行為者利用兩個公開可用的漏洞 CVE-2018-4233 和 CVE-2018-4404 在 macOS 上進行植入。值得注意的是,CVE-2018-4404 漏洞的部分內容似乎源自於 Metasploit 框架,專門針對 macOS 版本 10。
演變以及與其他惡意軟體的聯繫
LightSpy 於 2020 年首次被公開報導。 4 月,黑莓披露了一項針對南亞用戶的新網路間諜活動,提供 iOS 版本的 LightSpy。然而,現在發現更複雜的 macOS 變體採用基於插件的系統來收集各種類型的信息。
目前的活動和範圍
雖然該間諜軟體的樣本最近從印度上傳到VirusTotal,但Huntress 研究人員 Stuart Ashenbrenner 和奧爾登·施密特(Alden Schmidt) 警告稱,在沒有更具體證據的情況下,不要倉促得出關於活躍活動或區域目標的結論。 ThreatFabric 的分析表明,該 macOS 變體至少自 2024 年 1 月起就一直活躍,儘管它似乎僅限於約 20 台測試設備。
攻擊機制
此攻擊首先利用Safari WebKit漏洞CVE-2018-4233,透過惡意HTML頁面執行程式碼。這會導致交付偽裝成 PNG 影像檔案的 64 位元 Mach-O 二進位檔案。然後,該二進位檔案會提取並執行一個 shell 腳本,該腳本會取得額外的有效負載:權限升級漏洞、加密/解密公用程式和 ZIP 檔案。腳本為提取的檔案指派 root 權限,設定間諜軟體在系統重新啟動後啟動的持久性。
LightSpy 的功能
LightSpy 的 macOS 版本支援十個專為各種惡意活動而設計的插件。其中包括從麥克風捕獲音訊、拍照、錄音畫面活動、收集和刪除檔案、執行shell 命令、列出已安裝的應用程式和正在運行的進程,以及從Web 瀏覽器(Safari 和Google Chrome)和iCloud 鑰匙串中提取數據。此外,外掛程式還可以擷取同一網路上其他裝置的資訊、裝置已連線的 Wi-Fi 網路清單以及附近 Wi-Fi 網路的詳細資訊。
命令與控制基礎設施
LightSpy Core 元件與命令和控制 (C2) 伺服器建立聯繫,使其能夠接收命令並下載插件。核心和插件都可以透過 C2 指令動態更新。 ThreatFabric 發現了一個允許存取 C2 面板的錯誤配置,其中包括有關受害者及其相關數據的資訊。
移動威脅的更廣泛背景
這項發現是針對行動裝置的惡意軟體更大趨勢的一部分。例如,Android 設備受到 BankBot 和 SpyNote 等已知銀行木馬的攻擊,特別是在烏茲別克和巴西,並透過冒充墨西哥電信供應商來感染拉丁美洲和加勒比地區的用戶。同時,Access Now 和公民實驗室報告了 Pegasus 間諜軟體對拉脫維亞、立陶宛和波蘭講俄語和白俄羅斯語的活動人士和記者的攻擊。這些攻擊至少可以追溯到2020 年,並在2022 年2 月俄羅斯入侵烏克蘭後加劇。調查。
針對 macOS 的 LightSpy 間諜軟體變體的發現突顯了網路威脅的不斷發展和複雜性。這項發展強調了在所有平台上採取強有力的網路安全措施和持續保持警惕的重要性,以保護用戶免受此類普遍的自適應惡意軟體的侵害。
