LightSpy スパイウェア
セキュリティアナリストは、当初 Apple iOS ユーザーをターゲットにしていると考えられていた LightSpy スパイウェアが、マルウェアの未公開の macOS 版であることを明らかにしました。これらの知見は、このクロスプラットフォームの脅威に関連する痕跡を調査したサイバーセキュリティの専門家から得たものです。このマルウェアフレームワークは、Android、iOS、Windows、macOS、Linux などの幅広いシステム、および NETGEAR、Linksys、ASUS 製のルーターに感染する可能性があります。
目次
サイバー犯罪者は脆弱性を悪用してデバイスをLightSpyに感染させる
脅威アクターグループは、公開されている 2 つのエクスプロイト (CVE-2018-4233、CVE-2018-4404) を利用して macOS にインプラントを展開しました。CVE-2018-4404 の一部は、Metasploit フレームワークに由来している可能性があります。エクスプロイトは、macOS バージョン 10 をターゲットにしていました。
LightSpy は 2020 年に最初に報告され、その後 DragonEgg という Android 監視ツールに関連付けられました。
2024年4月、研究者らは南アジアのユーザーを狙った「新たな」サイバースパイ活動を明らかにした。当初はLightSpyのiOS版を配信するものと考えられていた。しかし、プラグインベースのシステムを利用してさまざまな種類の情報を収集する、より洗練されたmacOSの亜種であることが判明した。
LightSpy キャンペーンの攻撃チェーン
分析によると、macOS の亜種は少なくとも 2024 年 1 月から実際に運用されており、約 20 台のデバイスをターゲットにしており、そのほとんどはテストデバイスであると考えられています。
攻撃シーケンスは、HTML ページの脅威によってコード実行をトリガーし、Safari WebKit の脆弱性である CVE-2018-4233 を悪用することから始まります。これにより、PNG 画像ファイルに偽装された 64 ビット Mach-O バイナリが展開されます。
バイナリの主な機能は、シェル スクリプトを抽出して実行し、権限昇格エクスプロイト、暗号化/復号化ツール、ZIP アーカイブの 3 つの追加ペイロードを取得することです。
これに続いて、スクリプトは 'update' ファイルと 'update.plist' ファイルを含む ZIP アーカイブを解凍し、両方にルート権限を割り当てます。 'plist' ファイルは永続性を確保し、システムの再起動ごとにもう一方のファイルが起動されるようにします。
有害なプラグインによりサイバー犯罪者が大量のデータを入手
「update」ファイル (macircloader とも呼ばれる) は、LightSpy Core コンポーネントのローダーとして機能します。このコンポーネントにより、コマンド アンド コントロール (C2) サーバーとの通信が可能になり、コマンドの取得やプラグインのダウンロードが可能になります。
macOS バージョンは 10 種類のプラグインをサポートしており、マイクからのオーディオ キャプチャ、写真の撮影、画面アクティビティの記録、ファイルの収集と削除、シェル コマンドの実行、インストールされているアプリケーションと実行中のプロセスのリストの取得、Web ブラウザー (Safari と Google Chrome) と iCloud キーチェーンからのデータの抽出など、さまざまな機能を有効にします。
さらに、他の 2 つのプラグインにより、同じネットワークに属する他のデバイスに関する情報の収集が容易になり、デバイスが接続している Wi-Fi ネットワークが一覧表示され、近くの Wi-Fi ネットワークの詳細が提供されます。
標的のプラットフォームに関係なく、脅威アクターグループの主な目的は、メッセンジャーの会話や音声録音など、被害者の通信を傍受することでした。被害者の所在地付近のデバイスを特定することを目的として、ネットワーク検出専用の macOS 用プラグインが開発されました。
