导 读
据黑莓报告,LightSpy iOS 恶意软件背后与的 APT 组织已通过基于 Windows 的监控框架扩展了其工具集。
LightSpy 专注于从受感染的设备窃取信息,最初于 2020 年被发现,当时它被用于针对亚洲敏感地区 iPhone 用户的攻击。
今年的多份报告显示,LightSpy 的运营者已经扩展了他们的工具集以针对 Android 和 macOS,并扩展了恶意软件的功能,包括添加破坏性模块。
现在,黑莓将这些攻击归咎于黑客组织APT41 (也称为 Barium、Brass Typhoon、Bronze Atlas、Wicked Panda 和 Winnti),并详细介绍了 LightSpy 活动演变的另一个步骤,该活动也已扩展到 Windows 系统。
通过添加适用于Windows 的DeepData监控框架及其 12 个专门用于信息盗窃的插件,该威胁组织拥有了全面的跨平台间谍活动能力,并有复杂的命令和控制 (C&C) 基础设施支持。
据黑莓称,APT41 的监控功能针对 WhatsApp、Telegram、Signal、微信、Outlook、钉钉和飞书等通信平台,以及浏览器、密码管理器和大量系统和网络数据。该 APT 还可以录制音频来监视受害者。
DeepData 由威胁组织的 C&C 服务器以 ZIP 存档的形式提供,其布局与 LightSpy 相同,由一个核心模块和多个针对各种应用程序进行信息窃取的插件组成。
音频录制功能也包含在一个模块中,该模块使用系统的麦克风和开源库 FFmpeg 执行此操作。录音以 .acc 格式保存并发送到攻击者的服务器。
通过仔细检查该框架的各个组件,黑莓发现其开发工作很可能始于 2022 年中期,大多数插件将在 2023 年编译完成。然而,该框架的核心组件是在 2024 年 3 月编译完成的,键盘记录功能是在 10 月添加的。
BlackBerry 表示:“我们的最新发现表明,DeepData 背后的威胁组织专注于长期情报收集。自 2022 年首次开发 LightSpy 间谍软件植入程序以来,攻击者一直在坚持不懈地有条不紊地对通信平台进行战略性攻击,重点是隐身和持续访问。”
报告全文:https://blogs.blackberry.com/en/2024/11/lightspy-apt41-deploys-advanced-deepdata-framework-in-targeted-southern-asia-espionage-campaign
新闻链接:
https://www.securityweek.com/lightspy-ios-spyware-operation-expands-to-windows/
今日安全资讯速递
APT事件
Advanced Persistent Threat
新型 RustyAttr 恶意软件通过滥用扩展属性攻击 macOS
https://thehackernews.com/2024/11/new-rustyattr-malware-targets-macos.html
DONOT APT 针对巴基斯坦海事和国防制造业的攻击
https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing/
Check Point报告:WezRat 深度分析
https://research.checkpoint.com/2024/wezrat-malware-deep-dive/
法庭文件称,NSO 集团在被起诉后又利用了一次 WhatsApp 0day漏洞
https://www.bleepingcomputer.com/news/security/nso-group-used-another-whatsapp-zero-day-after-being-sued-court-docs-say/
俄罗斯黑客利用新的 NTLM 漏洞通过网络钓鱼电子邮件部署 RAT 恶意软件
https://thehackernews.com/2024/11/russian-hackers-exploit-new-ntlm-flaw.html
伊朗黑客在针对以色列组织的攻击中部署 WezRat 恶意软件
https://thehackernews.com/2024/11/iranian-hackers-deploy-wezrat-malware.html
越南黑客组织部署新型 PXA 窃取软件,瞄准欧洲和亚洲
https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html
LightSpy 间谍软件操作扩展到 Windows
https://www.securityweek.com/lightspy-ios-spyware-operation-expands-to-windows/
一般威胁事件
General Threat Incidents
Glove Stealer 恶意软件在攻击中利用了最近披露的 App-Bound 加密绕过方法
https://www.securityweek.com/glove-stealer-malware-bypasses-chromes-app-bound-encryption/
僵尸网络利用 GeoVision 0day漏洞安装 Mirai 恶意软件
https://www.bleepingcomputer.com/news/security/botnet-exploits-geovision-zero-day-to-install-mirai-malware/
瑞士网络机构警告称恶意软件正通过邮件传播
https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency
网络犯罪分子利用 Strela Stealer 恶意软件瞄准西班牙、德国和乌克兰的受害者
https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware
新型 Glove 信息窃取恶意软件可绕过 Chrome 的 Cookie 加密
https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/
专家发现大规模“Sitting Ducks”攻击计划中存在 70,000 个被劫持域名
https://thehackernews.com/2024/11/experts-uncover-70000-hijacked-domains.html
Microsoft Power Pages 配置错误导致全球数百万条记录泄露
https://hackread.com/microsoft-power-pages-misconfigurations-data-leak/
漏洞事件
Vulnerability Incidents
Palo Alto Networks 确认存在新的防火墙0day漏洞
https://www.securityweek.com/palo-alto-networks-confirms-new-firewall-zero-day-exploitation/
CISA 警告称,又有两起 Palo Alto Expedition 漏洞被利用于攻击
https://www.securityweek.com/cisa-warns-of-two-more-palo-alto-expedition-flaws-exploited-in-attacks/
严重插件漏洞导致 400 万个 WordPress 网站遭入侵
https://www.securityweek.com/critical-plugin-flaw-exposed-4-million-wordpress-websites-to-takeover/
PostgreSQL 中的高严重性缺陷允许黑客利用环境变量
https://thehackernews.com/2024/11/high-severity-flaw-in-postgresql-allows.html
研究人员警告谷歌 Vertex AI ML 平台存在权限升级风险
https://thehackernews.com/2024/11/researchers-warn-of-privilege.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):LightSpy 间谍软件操作扩展到 Windows,幕后组织扩展了工具集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论