2024年5月,ThreatFabric研究人员发现了一个macOS版本的LightSpy间谍软件,该软件至少从2024年1月起就活跃在网络上。ThreatFabric观察到威胁参与者使用两个公开可用的漏洞(CVE-2018-4233,CVE-2018-4404)来投递macOS植入物。
专家注意到,CVE-2018-4404漏洞利用程序的一部分可能借鉴自Metasploit框架。macOS版本的LightSpy支持10个插件,可以从设备中窃取私人信息。LightSpy是一款模块化间谍软件,在数月不活跃后重新出现,新版本支持具有广泛间谍功能的模块化框架。
LightSpy可以窃取Telegram、QQ和微信等多个流行应用程序中的文件,以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据,包括浏览器历史记录、WiFi连接列表、已安装应用程序详细信息,甚至设备摄像头拍摄的图像。该恶意软件还允许攻击者访问设备的系统,使他们能够检索用户KeyChain数据、设备列表并执行shell命令,从而可能完全控制设备。更新后的iOS版本(7.9.0)扩展了插件——从12个增加到28个——其中7个会破坏设备启动。该报告涵盖了这款间谍软件的新功能和插件功能。ThreatFabric专家现在发现了一个新的、增强的Apple iOS间谍软件LightSpy版本,它支持新的功能,包括破坏性功能,可以阻止受感染的设备启动。更新后的iOS版本(7.9.0)将插件从12个扩展到28个,其中7个会破坏设备启动。专家们发现了与新版本相关的五个活跃的C2服务器,最新的部署日期为2022年10月26日,尽管使用了2020年已修补的漏洞。一些标记为“DEMO”的样本表明,该基础设施可能用于演示而不是主动部署。研究人员注意到macOS和iOS版本之间存在代码相似之处,这可能是因为这两个版本都是由同一个开发团队设计的。iOS植入物的投递方法与macOS版本类似,但这两个版本依赖于不同的后利用和权限提升阶段。
iOS版本的目标平台最高为13.3版本。攻击者利用公开可用的Safari漏洞CVE-2020-9802进行初始访问,并利用CVE-2020-3837进行权限提升。攻击者使用WebKit漏洞投递一个扩展名为“.PNG”的文件,该文件实际上是一个Mach-O二进制文件,它从远程服务器获取下一阶段的有效载荷。
ThreatFabric发布的报告中写道:“感染链的下一部分是“bb”文件。根据静态分析结果,我们得出结论,最初“bb”被称为“loadios”,同时还有一些与“ircloader”相关的字符串。我们还发现主要的Objective-C类名为“FrameworkLoader”,这个名称完全代表了“bb”文件的功能。”
FrameworkLoader下载LightSpy的核心模块和间谍软件使用的插件。“核心模块高度依赖越狱功能才能执行以及执行插件。这就是为什么它会下载一个额外的文件“resources.zip”,其中还包含与iOS 12版本系列上的越狱过程相关的越狱辅助文件。”报告继续说道。“核心模块使用名为light.db的SQLite数据库来存储植入物的状态、配置和执行计划。” 以下支持的插件列表包括多个破坏性模块:
Name | Version | Brief description |
AppDelete | 1.0.0 | Can delete messenger-related victim files |
BaseInfo | 2.0.0 | Exfiltrates contact list, call history, and SMS messages. Can send SMS messages by the command |
Bootdestroy | 1.0.0 | Destructive plugin: can prevent the device to boot up |
Browser | 2.0.0 | Browser history exfiltration plugin |
BrowserDelete | 1.0.0 | Destructive plugin: can wipe browser history |
cameramodule | 1.0.0 | Takes camera shots. Can do a one-shot or take several shots for a specified time interval |
ContactDelete | 1.0.0 | Destructive plugin: can delete specified contacts from the address book |
DeleteKernelFile | 1.0.0 | Destructive plugin: can freeze the device |
DeleteSpring | 1.0.0 | Destructive plugin: can freeze the device |
EnvironmentalRecording | 1.0.0 | Sound recording plugin: environment, calls |
FileManage | 2.0.0 | File exfiltration plugin |
ios_line | 2.0.212 | Line messenger data exfiltration plugin |
ios_mail | 2.0.10 | Apple Mail application data exfiltration plugin |
ios_qq | 2.0.0 | Tencent QQ messenger database parsing and exfiltration plugin |
ios_telegram | 2.0.211 | Telegram messenger data exfiltration plugin |
ios_wechat | 2.0.211 | WeChat messenger data exfiltration plugin |
ios_whatsapp | 2.0.212 | WhatsApp messenger data exfiltration plugin |
KeyChain | 2.0.0 | KeyChain data exfiltration plugin |
landevices | 2.0.0 | Wi-Fi network scanning plugin |
Location | 2.0.0 | Location exfiltration plugin |
MediaDelete | 1.0.0 | Destructive plugin: capable of deleting media files from the device |
PushMessage | 1.0.0 | Plugin simulates incoming push messages that contain specified URL |
Screen_cap | 2.0.0 | Screen capture plugin |
ShellCommand | 3.0.0 | Execute shell command |
SMSDelete | 1.0.0 | Destructive plugin: deletes specified SMS message |
SoftInfo | 2.0.0 | The plugin exfiltrates the list of installed apps and running processes |
WifiDelete | 1.0.0 | Destructive plugin: deletes Wi-Fi network configuration profile |
WifiList | 2.0.0 | Wi-Fi network data exfiltration plugin |
最新版本的iOS间谍软件中包含的一些破坏性功能允许操作者删除媒体文件、短信、Wi-Fi配置、联系人以及浏览器历史记录。他们还可以冻结设备,阻止其重新启动。此外,上述某些插件可以创建带有特定URL的虚假推送通知。研究人员认为,该间谍软件是通过水坑攻击传播的。专家收集的证据表明,操作者来自中国。“由于威胁参与者使用的是“无根越狱”(不会在设备重启后继续存在),因此定期重启对于Apple设备所有者来说是一个最佳实践。虽然重启并不能防止再次感染,但它可以限制攻击者从设备中窃取信息的量。”该报告总结道,报告中还包含了该威胁的入侵指标。
原文始发于微信公众号(黑猫安全):新一代LightSpy间谍软件目标iPhone,具有破坏性能力
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论