2024-05-31 16:10:02
Ресерчеры
ThreatFabric продолжают отслеживать APT
LightSpy, обнаружив на сей раз задействуемую группой версию шпионского ПО для
macOS.
Вредоносная программа также известна как
F_Warehouse и представляет собой модульную платформу слежения за
iOS и Android, позволяя красть широкий спектр данных с мобильных устройств, включая файлы, снимки экрана, геолокацию, записи разговоров и платежную информацию
WeChat, а также данные из
Telegram и QQ Messenger.
Новая версия
LightSpy для macOS подтверждает широкую сферу применения инструмента, ранее известного только для устройств
Android и iOS.
Злоумышленники, стоящие за фреймворком, используют его для атак на цели в
Азиатско-Тихоокеанском регионе.
Согласно новому отчету
ThreatFabric, имплант
macOS активен в дикой природе по крайней мере с января 2024 года.
Однако в настоящее время его работа, похоже, ограничивается тестовыми средами, а зараженные хосты принадлежат исследователям.
Ресерчеры смогли проникнуть в панель управления
LightSpy, воспользовавшись неправильной конфигурацией, и подробно изучить функционал и инфраструктуру, а также выделить зараженные устройства.
Злоумышленники используют CVE-2018-4233 и CVE-2018-4404 в
WebKit для запуска выполнения кода в
Safari, ориентированном на macOS 10.13.3 и более ранние версии.
Первоначально на устройство доставляется 64-битный двоичный файл MachO, замаскированный под файл изображения PNG (20004312341.png), который расшифровывает и выполняет встроенные сценарии, извлекая второй этап.
Полезная нагрузка второго этапа загружает эксплойт повышения привилегий (ssudo), утилиту шифрования/дешифрования (ddss) и ZIP-архив (mac.zip) с двумя исполняемыми файлами (update и update.plist).
В конце концов, сценарий оболочки расшифровывает и распаковывает эти файлы, получая root-доступ на взломанном устройстве и устанавливая постоянство в системе, настраивая двоичный файл «обновления» для выполнения при запуске.
Следующий шаг выполняется компонентом macircloader, который загружает, расшифровывает и запускает
LightSpy Core, действуя как центральная система управления плагинами для структуры шпионского ПО и отвечая за связь с C2.
Ядро
LightSpy также может выполнять команды оболочки на устройстве, обновлять его сетевую конфигурацию и устанавливать расписание активности, чтобы избежать обнаружения.
Платформа
LightSpy реализует широкий функционал шпионажа, прежде всего, за счет различных плагинов, задействуя 14 плагинов для
Android и 16 плагинов для
iOS и 10 для
macOS.
Плагины позволяют
LightSpy выполнять комплексную эксфильтрацию данных из зараженных систем
macOS, а его модульная конструкция обеспечивает гибкость эксплуатации.
В своем отчете
ThreatFabric отмечает, что имея доступ к панели злоумышленника, они смогли подтвердить также существование имплантатов для
Windows, Linux и маршрутизаторов, но пока не понимая, как именно они задействуются в атаках.
6.7K views13:10