导 读
网络安全研究人员发现了一种名为 LightSpy 的 Apple iOS 间谍软件的改进版本,它不仅扩展了其功能,还结合了破坏性功能,以防止受感染的设备启动。
“虽然 iOS 植入交付方法与 macOS 版本的方法非常相似,但由于平台差异,漏洞利用后和权限提升阶段存在显著差异。”ThreatFabric 在本周发布的分析中表示。
LightSpy 于 2020 年首次被发现,是一种模块化植入物,它采用基于插件的架构来增强其功能,并允许它从受感染的设备中捕获广泛的敏感信息。
分发恶意软件的攻击链利用 Apple iOS 和 macOS 中的已知安全漏洞来触发 WebKit 漏洞,该漏洞会丢弃扩展名为“.PNG”的文件,但实际上是一个 Mach-O 二进制文件,负责通过滥用编号为 CVE-2020-3837 的内存损坏漏洞从远程服务器检索下一阶段的有效载荷。
这包括一个名为 FrameworkLoader 的组件,该组件反过来会下载 LightSpy 的核心模块及其各种插件,在最新版本中,这些插件已从6.0.0版本的12 个上升到7.9.0版的28个。
“Core 启动后,它将执行 Internet 连接检查,然后它将检查从 FrameworkLoader 作为 [命令和控制] 数据和工作目录传递的参数。”这家荷兰安全公司表示。
“使用工作目录路径 /var/containers/Bundle/AppleAppLit/,核心将为日志、数据库和泄露的数据创建子文件夹。”
这些插件可以捕获范围广泛的数据,包括 Wi-Fi 网络信息、屏幕截图、位置、iCloud 钥匙串、录音、照片、浏览器历史记录、联系人、通话记录和 SMS 消息,以及从文件、LINE、邮件大师、电报、QQ、微信和 WhatsApp 等应用程序收集信息。
一些新添加的插件还拥有破坏性功能,可以删除媒体文件、短信、Wi-Fi 网络配置文件、联系人和浏览器历史记录,甚至冻结设备并阻止其重新启动。此外,LightSpy 插件可以生成包含特定 URL 的虚假推送通知。
该间谍软件的确切分发工具尚不清楚,但据信它是通过水坑攻击精心策划的。迄今为止,这些活动尚未归因于已知的威胁组织。
“LightSpy iOS 案例凸显了保持系统最新状态的重要性。”ThreatFabric 说。“LightSpy 背后的威胁组织密切监控安全研究人员的最新成果,使用新披露的漏洞来提供有效载荷并提升受影响设备上的权限。”
详细技术报告:https://www.threatfabric.com/blogs/lightspy-implant-for-ios
新闻链接:
https://thehackernews.com/2024/10/new-lightspy-spyware-version-targets.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
微软警告:黑客利用 Quad7 僵尸网络窃取凭证
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
新型 Xiū gǒu 网络钓鱼工具包袭击英国、美国、日本、澳大利亚的关键行业
https://hackread.com/gou-phishing-kit-hits-uk-us-japan-australia-sectors/
研究人员发现攻击者在 S3 存储桶中暴露了 15,000 个被盗凭证
https://www.securityweek.com/honeypot-surprise-researchers-catch-attackers-exposing-15000-stolen-credentials-in-s3-bucket/
Mystic Valley Elder Services 数据泄露影响 87,000 人
https://www.securityweek.com/mystic-valley-elder-services-data-breach-impacts-87000-people/
CyberPanel 漏洞披露后不久即遭勒索软件攻击
https://www.securityweek.com/cyberpanel-vulnerabilities-exploited-in-ransomware-attacks-shortly-after-disclosure/
Fortinet 发现更多与广泛利用的FortiManager 0day漏洞相关的恶意 IP
https://www.cybersecuritydive.com/news/fortinet-cve-indicators-compromise/731616/
LottieFiles 发出有关“lottie-player” npm 软件包被盗用的警告
https://thehackernews.com/2024/10/lottiefiles-issues-warning-about.html
LiteSpeed Cache 插件漏洞对 WordPress 网站构成重大风险
https://thehackernews.com/2024/10/litespeed-cache-plugin-vulnerability.html
超过一千家网上商店遭到黑客攻击,显示虚假产品信息
https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/
秘鲁联合银行证实发生数据泄露事件
https://securityaffairs.com/170431/data-breach/interbank-refused-to-pay-the-ransom.html
漏洞事件
Vulnerability Incidents
Yahoo 披露 NetIQ iManager 漏洞,可导致远程代码执行
https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/
qBittorrent 修复了导致用户 14 年来遭受 MitM 攻击的漏洞
https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/
黑客瞄准 PTZ 摄像机中的关键零日漏洞
https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新版 LightSpy 间谍软件针对 iPhone,增强了丰富的监控能力
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论