近期,针对香港iOS用户的恶意软件LightSpy再度引起了广泛关注。这种恶意软件被发现嵌入在20台活跃服务器上,作为安卓植入体Core(核心)及其14个相关插件的一部分,用于对移动用户进行水坑攻击。
LightSpy是一种移动高级持续性威胁(mAPT),它采用了一系列新颖而复杂的技术来对移动用户实施攻击。有关此恶意软件的初步调查已经确认,它源自知名黑客组织APT41。
最近的报告揭示,LightSpy恶意软件一直在利用微信支付系统来获取支付数据、监控私密通信,并执行各种恶意活动,这引发了极大的担忧。这一事件再次强调了网络安全的重要性,用户和组织都需要采取积极措施来保护自己的数据和隐私。
LightSpy APT攻击微信用户
根据多份报告的显示,LightSpy恶意软件是一套功能齐全且高度模块化的监视工具集,已被确认使用各种插件来泄露和窃取私密数据以及支付信息。令人担忧的是,这种恶意软件特别针对受害者的私人信息展开攻击。
其主要功能包括:
- 利用后端基础设施,从微信支付中获取支付数据并将其泄露。此外,它还可以利用微信的音频相关功能,记录受害者的VOIP通话内容。
然而,值得注意的是,LightSpy不能独立运行,因为它本身就是一个插件。该恶意软件的核心部分负责执行整个攻击链所需的所有功能。这些核心功能包括:
-
设备指纹收集,用于识别和跟踪目标设备。
-
控制服务器连接建立,以确保与控制服务器的通信。
-
从服务器检索命令,用于获取攻击指令以及其他必要信息。
-
更新自身和额外的攻击载荷文件(也称为插件),以确保恶意软件的功能和特性始终保持最新状态。
LightSpy的14个插件
该恶意软件已添加了多个插件,包括soft list(软列表)、baseinfo(基础信息)、bill(账单)、cameramodule(摄像头模块)、chatfile(聊天文件)、filemanager(文件管理器)、locationmodule(位置模块)、locationBaidu(位置百度)、qq、shell、soundrecord(录音)、telegram、wechat(微信)和wifi。
信息来源: ThreatFabric
正如报告中所提到的那样,LightSpy恶意软件的关键插件之一是位置模块插件,其主要功能是进行位置跟踪。该插件能够捕获并发送当前位置的快照,还可以设置指定时间间隔的位置跟踪。值得一提的是,这个插件基于两个位置跟踪框架:腾讯位置SDK和百度位置SDK。另一个重要的插件是Soundrecord(录音)插件,其任务是录制音频。该插件具备立即启动录音或按照指定的时间间隔进行录音的功能。此外,它还能够记录来电通话的内容。
此外,Bill(账单)插件也是一个关键组成部分,其职责是从微信支付中收集受害者的支付历史信息。这些信息包括上一笔账单的ID、账单类型、交易ID、日期以及已支付处理的标志。
这些插件的存在进一步凸显了LightSpy恶意软件的复杂性和危险性。它们的结合使用使得恶意软件能够广泛地监视受害者的行为并窃取敏感信息,因此,对于保护个人和机构的安全来说,提高网络安全措施的重要性不言而喻。这一发现也再次强调了在数字时代保护隐私和数据安全的迫切性。
iOS命令和安卓命令之间的关系(来源:ThreatFabric)
基础设施
LightSpy基础设施包含几十个服务器,分布在中国大陆、中国香港、中国台湾、新加坡和俄罗斯,由于一些服务器返回不同的命令和载荷,可以推测攻击者为每次活动使用不同的IP地址或域。与此同时,由于一些服务器返回载荷(应该是在2018年编译的),可以假设攻击者可以在几个攻击活动中重复使用同一套基础设施。另一个关于长寿命服务器的假设是,安全行业人士常常不会发现/披露这些服务器,因此不需要更改IP地址。
在分析LightSpy基础设施时,我们发现了两个值得注意的时刻:
LightSpy与AndroidControl(WyrmSpy)的联系
我们获取了硬编码到核心中的IP地址,与Lookout报告中披露的IP地址是同一个。
结果显示35900端口已被关闭,主机对LightSpy的请求没有做出响应。与此同时,有一些其他端口是开放的,用于提供https服务。
特别是,端口11090对应的https服务器正在使用一个已过期的证书进行保护。该证书的SHA256指纹是f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824。值得注意的是,还有另外两台主机使用了相同的服务和相同的证书。这两台主机都开放了端口443,用于提供一个名为"AndroidControl v1.0.4"的管理面板。
有第三台主机具有相同的收藏夹图标(MD5散列542974b44d9c9797bcbc9d9218d9aee5),它托管相同的面板。这个主机上的面板错误配置,暴露了应该用于前后端之间通信的后端端点:
第一个值得关注的点是“控制”端点,这种端点位于Lookout报告的WyrmSpy样本中。
为了确认这三个主机与WyrmSpy有关,我们做了一个简单的请求双“控制”端点,看到了相同的结果:
在WyrmSpy的代码中,我们可以看到它等待对含有字段“suc”的请求进行响应:
因此,这三个主机都是WyrmSpy的活跃C2,或者正如攻击者所命名的AndroidControl或androidRat。
由于面板在处于调试模式的Django中,它暴露了一些内部信息,比如一个内部文件夹(整个前端和后端文件存储在服务器中),以及另一个IP地址47.115.7[.]112:
LightSpy面板
其中一台C2服务53601端口,该服务含有Admin面板:
面板在VUEJS中,除了面板结构外,我们在底层没有发现任何值得注意的痕迹。VUEJS节点的功能仍然不清楚。
一篇关于LightSpy的完整报告已经由ThreatFabric发布(详见www.threatfabric.com/blogs/light…
攻陷指标
控制服务器:
域
spaceskd[.]com
IP
103.27.108[.]207
46.17.43[.]74
文件哈希:
第二阶段载荷(smallmload .jar)
SHA256
407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c
bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99
核心
| SHA256 | 版本 |
|---|---|
| 68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541 | 6.5.24 |
| 5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00 | 6.5.24 |
| bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc | 6.5.25 |
| 9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd | 6.2.1 |
| a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3 | 6.5.19 |
| 77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b | 6.2.0 |
| d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e | 6.2.1 |
| 3849adc161d699edaca161d5b6335dfb7e5005056679907618d5e74b9f78792f | 6.2.6 |
| 2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4 | 5.2.1 |
插件
| 插件名称 | SHA256 |
|---|---|
| softlist | 7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112 |
| baseinfo | cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89 |
| bill | c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6 |
| cameramodule | bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325 |
| chatfile | 7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b |
| filemanager | e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546 |
| locationmodule | bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04 |
| locationBaidu | 177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1 |
| f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5 | |
| shell | e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be |
| soundrecord | c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e |
| telegram | 71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486 |
| bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1 | |
| wifi | 446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11 |
