بدافزار LightSpy iOS با 28 برنامه مخرب جدید
آوا البرز-عامل تهدید LightSpy از آسیبپذیریهای عمومی وکیتهای فراراز زندان برای به خطر انداختن دستگاههای iOS سوءاستفاده کرد. باینریهای اصلی این بدافزار حتی با همان گواهینامهای که در کیتهای فرار از زندان استفاده میشود، امضا شدهاند که نشاندهنده یکپارچگی عمیق است.
سرورهای C2 که تا 26 اکتبر 2022 فعال بودند، میزبان بدافزارهای قدیمی بودند، احتمالاً برای اهداف نمایشی اما نه به عنوان MaaS.
از آسیبپذیری CVE-2020-9802 برای دسترسی به دستگاه مورد نظراستفاده کرد که در iOS 13.5 برطرف شد، اما عامل تهدید CVE-2020-9870 و CVE-2020-9910 را که در iOS 13.6 وصله شد، دور زد. با استقرار یک فایل اجرایی باینری Mach-O، این اکسپلویت ازیک آسیبپذیری به نام CVE-2020-3837 استفاده کرد که درنهایت منجربه فرار اززندان شد. دستگاه جیلبریک شد FrameworkLoader را دانلود و اجرا کرد، که در ادامه Core و پلاگین های LightSpy را دانلود و اجرا کرد، در حالی که Core برای فعالیت های مخرب بیشتر با سرور C2 ارتباط برقرار کرد.
LightSpy iOS Implant یک آرشیو چند قسمتی است که شامل یک کتابخانه هسته (LightSpy Core) و چندین پلاگین است که به عملکردهای جیلبریک متکی است و با سرور C2 ارتباط برقرار میکند. ارتباطات شبکه، دسترسی به پایگاه داد، و استخراج آرشیو همگی از طریق استفاده از انواع کتابخانهها انجام میشود. پس از برقراری اتصال C2 ،LightSpy Core پیکربندی را تجزیه میکند و وظایف را به پلاگینها توزیع میکند، جایی که خود Core میتواند صداها را پخش کند و از پشته شبکه برای برقراری ارتباط با افزونهها استفاده میکند.
این افزونههای مختلفی را برای استخراج دادهها (مخاطبین، پیامها، دادههای برنامه)، ردیابی موقعیت مکانی، ضبط صفحه و حتی اقدامات مخرب مانند غیرفعال کردن راهاندازی یا حذف فایلها ارائه میدهد. عوامل تهدید از گواهینامههای خود امضاء برای ایجاد زیرساخت در آدرس IP 103.27.109.217 استفاده کردند. اطلاعات منبع باز چندین سرور را نشان داد که این گواهی را به اشتراک میگذارند. محققان با ارسال درخواستهای GET به آدرسها و پورتهای IP خاص، سرورهای متصل به کمپین iOS را شناسایی کردند.
تحقیقات Threat Fabric پنج آدرس IP کلیدی مرتبط با کمپین را کشف کرد که دو مورد از آنها میزبان پانلهای مدیریتی بودند. در حالی که تجزیه و تحلیل بر اساس مسیرهای فایل کد منبع در باینریهای دانلود شده نشان میدهد که حداقل سه توسعه دهنده روی پروژه LightSpy iOS کار کردند: دو توسعه دهنده بر توسعه پلاگین متمرکز شدهاند و یک توسعه دهنده اصلی که مسئول اجزای اصلی و افزایش امتیاز است.
Xcode به طور خودکار نام کاربر و سازمان را در فایلهای هدر وارد میکند که به شناسایی این توسعه دهندگان کمک میکند.
تغییرات مسیر فایل در یک حساب کاربری نشان دهنده استفاده احتمالی از چندین ماشین توسط یک توسعه دهنده است.
کیس LightSpy iOS یک عامل تهدید پیچیده را نشان میدهد که از سوءاستفادههای روز صفر و
یک روزه برای به خطر انداختن دستگاهها، به ویژه آنهایی که با محدودیتهای منطقهای مانع شدهاند، استفاده میکند.
مهاجمان از قابلیتهای مخرب برای پاک کردن ردپاها و نشان دادن پتانسیل ابزار خود استفاده
میکنند، درحالی که کشف یک پلاگین مکان مرتبط با یک سیستم خاص چینی به شدت منشأ
چینی را نشان میدهد. برای کاهش خطرات، به کاربران توصیه میشود دستگاهها را بهروز نگه دارند.
بهطور منظم راهاندازی مجدد کنند تا حملات مداوم را مختل کنند و در مناطقی که بهروزرسانیهای نرمافزاری محدودی دارند، احتیاط کنند.
بخوانید…
برچسب ها :آسیب پذیر ، آوا البرزخبر ، بدافزار ، حساب کاربری
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : 0