Исследователи кибербезопасности обнаружили "возобновленную" кампанию кибершпионажа, нацеленную на пользователей в Южной Азии с целью внедрения шпионского ПО Apple iOS под названием LightSpy.
"Последняя версия LightSpy, получившая название "F_Warehouse", может похвастаться модульной структурой с широкими функциями слежки", - говорится в отчете, опубликованном на прошлой неделе командой BlackBerry Threat Research and Intelligence Team.
Есть основания полагать, что кампания могла быть нацелена на Индию, основываясь на материалах VirusTotal, получаемых из-за ее границ.
Впервые задокументированное в 2020 году Trend Micro и Касперским, LightSpy относится к продвинутому бэкдору для iOS, который распространяется посредством атак через взломанные новостные сайты.
Последующий анализ, проведенный ThreatFabric в октябре 2023 года, выявил совпадения инфраструктуры и функциональности вредоносного ПО и шпионского ПО для Android, известного как DragonEgg, которое приписывается китайской национальной группе APT41 (она же Winnti).
Первоначальный вектор вторжения в настоящее время неизвестен, хотя предполагается, что оно осуществляется через новостные веб-сайты, которые были взломаны и, как известно, регулярно посещаются целями.
Отправной точкой является загрузчик первого этапа, который действует как стартовая площадка для основного бэкдора LightSpy и его различных плагинов, которые извлекаются с удаленного сервера для выполнения функций сбора данных.
LightSpy является одновременно полнофункциональным и модульным, позволяя злоумышленникам собирать конфиденциальную информацию, включая контакты, SMS-сообщения, точные данные о местоположении и аудиозаписи во время VoIP-звонков.
Последняя версия, обнаруженная канадской фирмой по кибербезопасности, еще больше расширяет свои возможности по краже файлов, а также данных из популярных приложений, таких как Telegram, QQ и WeChat, данных цепочки ключей iCloud и истории веб-браузера Safari и Google Chrome.
Комплексная шпионская платформа также предоставляет возможности для сбора списка подключенных сетей Wi-Fi, сведений об установленных приложениях, фотографирования с помощью камеры устройства, записи звука и выполнения команд командной оболочки, полученных с сервера, что, вероятно, позволяет ей перехватить контроль над зараженными устройствами.
"LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером командования и управления (C2)", - заявили в Blackberry. "Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет".
Дальнейшее изучение исходного кода имплантата предполагает участие носителей китайского языка, что повышает вероятность деятельности, спонсируемой государством. Более того, LightSpy взаимодействует с сервером, расположенным по адресу: 103.27[.]109[.]217, на котором также размещена панель администратора, которая отображает сообщение об ошибке на китайском языке при вводе неправильных учетных данных для входа.
Разработка происходит после того, как Apple заявила, что разослала пользователям в 92 странах, включая Индию, уведомления об угрозах о том, что они могли стать мишенью корыстных шпионских атак.
"Возвращение LightSpy, теперь оснащенного универсальной платформой "F_Warehouse", сигнализирует об эскалации угроз мобильного шпионажа", - заявили в BlackBerry.
"Расширенные возможности вредоносного ПО, включая обширную фильтрацию данных, прослушивание и потенциальный полный контроль над устройством, представляют серьезную опасность для целевых лиц и организаций в Южной Азии".
"Последняя версия LightSpy, получившая название "F_Warehouse", может похвастаться модульной структурой с широкими функциями слежки", - говорится в отчете, опубликованном на прошлой неделе командой BlackBerry Threat Research and Intelligence Team.
Есть основания полагать, что кампания могла быть нацелена на Индию, основываясь на материалах VirusTotal, получаемых из-за ее границ.
Впервые задокументированное в 2020 году Trend Micro и Касперским, LightSpy относится к продвинутому бэкдору для iOS, который распространяется посредством атак через взломанные новостные сайты.
Последующий анализ, проведенный ThreatFabric в октябре 2023 года, выявил совпадения инфраструктуры и функциональности вредоносного ПО и шпионского ПО для Android, известного как DragonEgg, которое приписывается китайской национальной группе APT41 (она же Winnti).
Первоначальный вектор вторжения в настоящее время неизвестен, хотя предполагается, что оно осуществляется через новостные веб-сайты, которые были взломаны и, как известно, регулярно посещаются целями.
Отправной точкой является загрузчик первого этапа, который действует как стартовая площадка для основного бэкдора LightSpy и его различных плагинов, которые извлекаются с удаленного сервера для выполнения функций сбора данных.
LightSpy является одновременно полнофункциональным и модульным, позволяя злоумышленникам собирать конфиденциальную информацию, включая контакты, SMS-сообщения, точные данные о местоположении и аудиозаписи во время VoIP-звонков.
Последняя версия, обнаруженная канадской фирмой по кибербезопасности, еще больше расширяет свои возможности по краже файлов, а также данных из популярных приложений, таких как Telegram, QQ и WeChat, данных цепочки ключей iCloud и истории веб-браузера Safari и Google Chrome.
Комплексная шпионская платформа также предоставляет возможности для сбора списка подключенных сетей Wi-Fi, сведений об установленных приложениях, фотографирования с помощью камеры устройства, записи звука и выполнения команд командной оболочки, полученных с сервера, что, вероятно, позволяет ей перехватить контроль над зараженными устройствами.
"LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером командования и управления (C2)", - заявили в Blackberry. "Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет".
Дальнейшее изучение исходного кода имплантата предполагает участие носителей китайского языка, что повышает вероятность деятельности, спонсируемой государством. Более того, LightSpy взаимодействует с сервером, расположенным по адресу: 103.27[.]109[.]217, на котором также размещена панель администратора, которая отображает сообщение об ошибке на китайском языке при вводе неправильных учетных данных для входа.
Разработка происходит после того, как Apple заявила, что разослала пользователям в 92 странах, включая Индию, уведомления об угрозах о том, что они могли стать мишенью корыстных шпионских атак.
"Возвращение LightSpy, теперь оснащенного универсальной платформой "F_Warehouse", сигнализирует об эскалации угроз мобильного шпионажа", - заявили в BlackBerry.
"Расширенные возможности вредоносного ПО, включая обширную фильтрацию данных, прослушивание и потенциальный полный контроль над устройством, представляют серьезную опасность для целевых лиц и организаций в Южной Азии".
