新一代LightSpy间谍软件目标iPhone,具有破坏性能力

admin 2024年11月4日13:48:49评论20 views字数 3323阅读11分4秒阅读模式

新一代LightSpy间谍软件目标iPhone,具有破坏性能力

2024年5月,ThreatFabric研究人员发现了一个macOS版本的LightSpy间谍软件,该软件至少从2024年1月起就活跃在网络上。ThreatFabric观察到威胁参与者使用两个公开可用的漏洞(CVE-2018-4233,CVE-2018-4404)来投递macOS植入物。

专家注意到,CVE-2018-4404漏洞利用程序的一部分可能借鉴自Metasploit框架。macOS版本的LightSpy支持10个插件,可以从设备中窃取私人信息。LightSpy是一款模块化间谍软件,在数月不活跃后重新出现,新版本支持具有广泛间谍功能的模块化框架。

LightSpy可以窃取Telegram、QQ和微信等多个流行应用程序中的文件,以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据,包括浏览器历史记录、WiFi连接列表、已安装应用程序详细信息,甚至设备摄像头拍摄的图像。该恶意软件还允许攻击者访问设备的系统,使他们能够检索用户KeyChain数据、设备列表并执行shell命令,从而可能完全控制设备。更新后的iOS版本(7.9.0)扩展了插件——从12个增加到28个——其中7个会破坏设备启动。该报告涵盖了这款间谍软件的新功能和插件功能。ThreatFabric专家现在发现了一个新的、增强的Apple iOS间谍软件LightSpy版本,它支持新的功能,包括破坏性功能,可以阻止受感染的设备启动。更新后的iOS版本(7.9.0)将插件从12个扩展到28个,其中7个会破坏设备启动。专家们发现了与新版本相关的五个活跃的C2服务器,最新的部署日期为2022年10月26日,尽管使用了2020年已修补的漏洞。一些标记为“DEMO”的样本表明,该基础设施可能用于演示而不是主动部署。研究人员注意到macOS和iOS版本之间存在代码相似之处,这可能是因为这两个版本都是由同一个开发团队设计的。iOS植入物的投递方法与macOS版本类似,但这两个版本依赖于不同的后利用和权限提升阶段。

iOS版本的目标平台最高为13.3版本。攻击者利用公开可用的Safari漏洞CVE-2020-9802进行初始访问,并利用CVE-2020-3837进行权限提升。攻击者使用WebKit漏洞投递一个扩展名为“.PNG”的文件,该文件实际上是一个Mach-O二进制文件,它从远程服务器获取下一阶段的有效载荷。

ThreatFabric发布的报告中写道:“感染链的下一部分是“bb”文件。根据静态分析结果,我们得出结论,最初“bb”被称为“loadios”,同时还有一些与“ircloader”相关的字符串。我们还发现主要的Objective-C类名为“FrameworkLoader”,这个名称完全代表了“bb”文件的功能。”

FrameworkLoader下载LightSpy的核心模块和间谍软件使用的插件。“核心模块高度依赖越狱功能才能执行以及执行插件。这就是为什么它会下载一个额外的文件“resources.zip”,其中还包含与iOS 12版本系列上的越狱过程相关的越狱辅助文件。”报告继续说道。“核心模块使用名为light.db的SQLite数据库来存储植入物的状态、配置和执行计划。” 以下支持的插件列表包括多个破坏性模块:

Name Version Brief description
AppDelete 1.0.0 Can delete messenger-related victim files
BaseInfo 2.0.0 Exfiltrates contact list, call history, and SMS messages. Can send SMS messages by the command
Bootdestroy 1.0.0 Destructive plugin: can prevent the device to boot up
Browser 2.0.0 Browser history exfiltration plugin
BrowserDelete 1.0.0 Destructive plugin: can wipe browser history
cameramodule 1.0.0 Takes camera shots. Can do a one-shot or take several shots for a specified time interval
ContactDelete 1.0.0 Destructive plugin: can delete specified contacts from the address book
DeleteKernelFile 1.0.0 Destructive plugin: can freeze the device
DeleteSpring 1.0.0 Destructive plugin: can freeze the device
EnvironmentalRecording 1.0.0 Sound recording plugin: environment, calls
FileManage 2.0.0 File exfiltration plugin
ios_line 2.0.212 Line messenger data exfiltration plugin
ios_mail 2.0.10 Apple Mail application data exfiltration plugin
ios_qq 2.0.0 Tencent QQ messenger database parsing and exfiltration plugin
ios_telegram 2.0.211 Telegram messenger data exfiltration plugin
ios_wechat 2.0.211 WeChat messenger data exfiltration plugin
ios_whatsapp 2.0.212 WhatsApp messenger data exfiltration plugin
KeyChain 2.0.0 KeyChain data exfiltration plugin
landevices 2.0.0 Wi-Fi network scanning plugin
Location 2.0.0 Location exfiltration plugin
MediaDelete 1.0.0 Destructive plugin: capable of deleting media files from the device
PushMessage 1.0.0 Plugin simulates incoming push messages that contain specified URL
Screen_cap 2.0.0 Screen capture plugin
ShellCommand 3.0.0 Execute shell command
SMSDelete 1.0.0 Destructive plugin: deletes specified SMS message
SoftInfo 2.0.0 The plugin exfiltrates the list of installed apps and running processes
WifiDelete 1.0.0 Destructive plugin: deletes Wi-Fi network configuration profile
WifiList 2.0.0 Wi-Fi network data exfiltration plugin

最新版本的iOS间谍软件中包含的一些破坏性功能允许操作者删除媒体文件、短信、Wi-Fi配置、联系人以及浏览器历史记录。他们还可以冻结设备,阻止其重新启动。此外,上述某些插件可以创建带有特定URL的虚假推送通知。研究人员认为,该间谍软件是通过水坑攻击传播的。专家收集的证据表明,操作者来自中国。“由于威胁参与者使用的是“无根越狱”(不会在设备重启后继续存在),因此定期重启对于Apple设备所有者来说是一个最佳实践。虽然重启并不能防止再次感染,但它可以限制攻击者从设备中窃取信息的量。”该报告总结道,报告中还包含了该威胁的入侵指标。

原文始发于微信公众号(黑猫安全):新一代LightSpy间谍软件目标iPhone,具有破坏性能力

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日13:48:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新一代LightSpy间谍软件目标iPhone,具有破坏性能力https://cn-sec.com/archives/3353177.html

发表评论

匿名网友 填写信息