社交網路背後的恐怖:
LightSpy 惡意框架的全面揭秘

LightSpy 是一個模組化監控框架,其功能已擴展至針對 Facebook 和 Instagram 資料。該惡意軟體最初專注於行動設備,現在可以使用水坑技術(Watering hole technique)進行部署,從而危害各種平台。最近的分析顯示,命令清單已擴展至超過 100 條,顯示正在轉向更廣泛的操作控制。研究人員在 LightSpy 基礎設施中發現了先前未記錄的元件和管理功能。 Windows 插件表明重點關注鍵盤記錄、音訊/視訊記錄和 USB 互動,而新的 Android 命令則提取 Facebook 和 Instagram 資料庫。研究結果揭示了管理端點,可洞察營運商活動和基礎設施,有助於追蹤和減輕威脅。

社交網路背後的恐怖:LightSpy 惡意框架的全面揭秘| 資訊安全新聞

簡介

LightSpy 是一種以資料收集和洩漏而聞名的模組化監控框架,它已擴展其功能以針對 Facebook 和 Instagram 資料。 LightSpy 於 2020 年首次被報導,最初針對的是行動設備,但後來發現它也會攻擊 Windows、macOS、Linux 和路由器。該惡意軟體使用水坑技術和以漏洞為基底的傳遞方式部署在有針對性的攻擊中,其基礎設施頻繁轉移以逃避檢測。

發現

  • LightSpy 現在以 Facebook 和 Instagram 應用程式資料庫檔案為目標進行資料擷取。
  • LightSpy 的部署日期為 2021-12-31,與可能未報告的核心版本相關。
  • Windows 專用外掛程式專為系統監視和資料收集而設計。
  • 管理面板以外的其他端點包括一條可能的測試路線,可短暫的曝露身份驗證的Session。

追蹤 LightSpy 基礎架構 Hunt.io 偵測到與 LightSpy 相關的八個活躍 IP。 BlackBerry 和 Volexity 在 LightSpy 的 DeepData 變體的研究中曾詳細介紹過一些 IP。 IP 位址 149.104.18[.]80 是掃描中出現的最新位址,也是分析的重點。

命令清單擴充

LightSpy 先前曾針對多個作業系統中的 Telegram、QQ、微信、WhatsApp 和 Line 等訊息應用程式進行攻擊。該框架可以竊取微信的支付資料、刪除聯絡人並清除訊息歷史記錄。

  • 命令清單已顯著擴展:
    • 先前的 C2:支援 55 個命令
    • 最近觀察到的 C2:超過 100 個命令,涵蓋 Android、iOS、Windows、macOS、路由器和 Linux
  • 新的命令列表將重點從直接資料收集轉移到更廣泛的操作控制,包括傳輸管理和插件版本追蹤:
    获取Facebook数据库文件("Get Facebook Database Files"), Command ID:83001获取Instagram数据库文件("Get Instagram Database Files"), Command ID:83002
  • 這是首次已知的 LightSpy 指令結構中針對 Facebook 和 Instagram 資料庫的攻擊實例。這一擴展增強了 LightSpy 收集私人訊息、聯絡人清單和帳戶Metadata的能力。
  • LightSpy 核心、iOS 和 Windows 外掛程式託管在香港 Cloudie Limited 上的伺服器 149.104.18[.]80 開放了連接埠 80、443、10000、30000 和 40002。
    http[:]//149.104.18[.]80:30000/963852741/ios/version.json 的請求返回了關於 LightSpy 核心的Metadata。 Spy 核心的Metadata,包括部署日期 2020-12-21,據報導與版本 7.7.1 相關。在連接埠 40002 上查詢相同端點傳回部署日期為 2021-12-31,MD5 雜湊為 81d2bd4781e3753b508ff6d966dbf160
  • 伺服器託管 manifest.json,其中包含版本號、類別路徑、MD5 雜湊、檔案名稱和下載 URL。答案列出了 17 種不同的 iOS 外掛程式。發現了一個單獨的 Windows 插件頁面,其中包含 15 個插件,其 DLL 檔案針對 x86x64 架構。 Windows 外掛程式專注於鍵盤記錄、音訊錄製、視訊擷取和 USB 互動。
  • 管理面板/基礎設施 IP 43.248.8[.]108 和 149.104.18[.]251 在連接埠 10000 或 10002 上託管管理面板。
  • 此介面名為 Console v3.5.0,可作為受感染行動裝置的遠端管理面板。

緩解措施

為了緩解風險,防禦者/使用者應該:

  • 限制應用程式權限,以防止不必要地存取敏感資料。
  • 啟用進階設備安全功能,限制設備的可利用性。
此外,檢查歷史系統日誌和取證成果,以確定 2021-12-31 核心版本或相關的 LightSpy 元件是否存在於先前未被發現的感染中。

入侵指標 (Indicators of Compromise 簡稱IOCs)

  • 網路可觀察物件:請參閱來源以取得 IP 位址、ASN、網域、位置和最後檢視日期的清單。
  • 主機可觀察物件:請參閱原始程式碼以取得檔案名稱和 SHA-256 雜湊值的清單。
  • PDB 路徑:
    • W:\yk\Bigfoot\bin\filename.pdb
    • W:\yk\Darwin\Bin\filename.pdb

結論

LightSpy 惡意軟體展示了一個複雜且不斷發展的監控框架,除了其他社群媒體和訊息平台外,它還擴大了其範圍以收集 Facebook 和 Instagram 的資料。這代表著關注點的重大轉變,增強了其收集私人訊息、聯絡人清單和帳戶Metadata的能力。該惡意軟體的基礎設施包括以前未記錄的元件和管理功能,其中命令集(Command set)修改和針對 Windows 的插件表明跨多個平台的資料收集和監視策略正在不斷改進。 LightSpy 分析的主要觀察結果包括:

  • 擴充功能的指令清單:指令清單已成長到 100 多個指令,顯示轉向更廣泛的操作控制和跨各種平台的高效管理。
  • 針對社群媒體:該惡意軟體現在針對 Facebook 和 Instagram 資料庫,標誌著其監控能力顯著擴展。
  • Windows 外掛程式: Windows 特定外掛程式專注於鍵盤記錄、音訊/視訊錄製和 USB 互動,突出全面的系統監控方法。
  • 基礎設施洞察:檢查管理面板身份驗證端點可以洞察操作員如何管理受感染的系統,並表明透過對身份驗證流程的行為分析可以進行追蹤和監控。
  • 緩解策略:對使用者和防禦者的建議包括限制應用程式權限和啟用進階設備安全功能以限制設備的可利用性。