تاریخ انتشار : سه شنبه ۱۵ آبان ۱۴۰۳ - ۱۰:۵۹
کد خبر : 156896

بدافزار LightSpy iOS با 28 برنامه مخرب جدید

بدافزار LightSpy iOS با 28 برنامه مخرب جدید

آوا البرز-عامل تهدید LightSpy از آسیب‌پذیری‌های عمومی وکیت‌های فراراز زندان برای به خطر انداختن دستگاه‌های iOS سوء‌استفاده کرد. باینری‌های اصلی این بدافزار حتی با همان گواهینامه‌ای که در کیت‌های فرار از زندان استفاده می‌شود، امضا شده‌اند که نشان‌دهنده یکپارچگی عمیق است.

سرورهای C2 که تا 26 اکتبر 2022 فعال بودند، میزبان بدافزارهای قدیمی بودند، احتمالاً برای اهداف نمایشی اما نه به عنوان MaaS.

از آسیب‌پذیری CVE-2020-9802 برای دسترسی به دستگاه مورد نظراستفاده کرد که در iOS 13.5 برطرف شد، اما عامل تهدید CVE-2020-9870 و CVE-2020-9910 را که در iOS 13.6 وصله شد، دور زد. با استقرار یک فایل اجرایی باینری Mach-O، این اکسپلویت ازیک آسیب‌پذیری به‌ نام CVE-2020-3837 استفاده کرد که درنهایت منجربه فرار اززندان شد. دستگاه جیلبریک شد FrameworkLoader را دانلود و اجرا کرد، که در ادامه Core و پلاگین های LightSpy را دانلود و اجرا کرد، در حالی که Core برای فعالیت های مخرب بیشتر با سرور C2 ارتباط برقرار کرد.

LightSpy iOS Implant یک آرشیو چند قسمتی است که شامل یک کتابخانه هسته (LightSpy Core) و چندین پلاگین است که به عملکردهای جیلبریک متکی است و با سرور C2 ارتباط برقرار می‌کند. ارتباطات شبکه، دسترسی به پایگاه داد، و استخراج آرشیو همگی از طریق استفاده از انواع کتابخانه‌ها انجام می‌شود. پس از برقراری اتصال C2 ،‌LightSpy Core پیکربندی را تجزیه می‌کند و وظایف را به پلاگین‌ها توزیع می‌کند، جایی که خود Core می‌تواند صداها را پخش کند و از پشته شبکه برای برقراری ارتباط با افزونه‌ها استفاده می‌کند.

این افزونه‌های مختلفی را برای استخراج داده‌ها (مخاطبین، پیام‌ها، داده‌های برنامه)، ردیابی موقعیت مکانی، ضبط صفحه و حتی اقدامات مخرب مانند غیرفعال کردن راه‌اندازی یا حذف فایل‌ها ارائه می‌دهد. عوامل تهدید از گواهینامه‌های خود امضاء برای ایجاد زیرساخت در آدرس IP 103.27.109.217 استفاده کردند. اطلاعات منبع باز چندین سرور را نشان داد که این گواهی را به اشتراک می‌گذارند. محققان با ارسال درخواست‌های GET به آدرس‌ها و پورت‌های IP خاص، سرورهای متصل به کمپین iOS را شناسایی کردند.

تحقیقات Threat Fabric پنج آدرس IP کلیدی مرتبط با کمپین را کشف کرد که دو مورد از آنها میزبان پانل‌های مدیریتی بودند. در حالی که تجزیه و تحلیل بر اساس مسیرهای فایل کد منبع در باینری‌های دانلود شده نشان می‌دهد که حداقل سه توسعه‌ دهنده روی پروژه LightSpy iOS کار کردند: دو توسعه‌ دهنده بر توسعه پلاگین متمرکز شده‌اند و یک توسعه‌ دهنده اصلی که مسئول اجزای اصلی و افزایش امتیاز است.

Xcode به طور خودکار نام کاربر و سازمان را در فایل‌های هدر وارد می‌کند که به شناسایی این توسعه دهندگان کمک می‌کند.

تغییرات مسیر فایل در یک حساب کاربری نشان دهنده استفاده احتمالی از چندین ماشین توسط یک توسعه دهنده است.

کیس LightSpy iOS یک عامل تهدید پیچیده را نشان می‌دهد که از سوء‌استفاده‌های روز صفر و

یک روزه برای به خطر انداختن دستگاه‌ها، به‌ ویژه آن‌هایی که با محدودیت‌های منطقه‌ای مانع شده‌اند، استفاده می‌کند.

مهاجمان از قابلیت‌های مخرب برای پاک کردن ردپاها و نشان دادن پتانسیل ابزار خود استفاده

می‌کنند، درحالی که کشف یک پلاگین مکان مرتبط با یک سیستم خاص چینی به شدت منشأ

چینی را نشان می‌دهد. برای کاهش خطرات، به کاربران توصیه می‌شود دستگاه‌ها را به‌روز نگه دارند.

به‌طور منظم راه‌اندازی مجدد کنند تا حملات مداوم را مختل کنند و در مناطقی که به‌روزرسانی‌های نرم‌افزاری محدودی دارند، احتیاط کنند.

بخوانید…
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : 0
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.