
Yeni altyapı analizine göre LightSpy Gelişmiş Kalıcı Tehdit (APT) Grubu, gözetim yeteneklerini Android, iOS, Windows, macOS ve Linux sistemlerini hedefleyen 100’den fazla komut çerçevesi ile önemli ölçüde yükseltti.
Bu modüler kötü amaçlı yazılım artık sosyal medya platformlarına ve genişletilmiş cihaz kontrol mekanizmalarına karşı rafine veri açığa çıkma tekniklerini kullanıyor ve bu da çok yönlü siber yemekliklere doğru stratejik bir kaymayı işaret ediyor.
Lightspy’nin komut altyapısının evrimi
Hunt.io raporuna göre, Tehdit Av Platformu, 149.104.18’deki en son komut ve kontrol (C2) sunucusu[.]80: 10000, daha önce belgelenen 45.125.34’e kıyasla desteklenen operasyonlarda% 182’lik bir artışı ortaya koyuyor[.]126: 49000 Sunucu, 55 komut barındırdı.
Güncellenmiş CMD_LIST uç noktası (/ujmfanncy76211/front_api), şanzıman kontrolü (“iletim kontrolü”) ve eklenti sürüm ayrıntılarını (“eklenti sürümü detayları yükleme”) yükleme gibi ayrıntılı kontrol mekanizmalarını sunar, operatörlerin sürüm-bilen eklenti eklentileri aracılığıyla tehlikeye atılmış cihazları yönetmesini sağlar.
Özellikle, çerçeve artık özel Android komutları aracılığıyla Facebook ve Instagram veritabanı dosyalarını hedefliyor:
- Komut Kimliği 83001: Facebook Veritabanı Dosyaları Alın (“Facebook Veritabanı Dosyaları Al”)
- Komut Kimliği 83002: Instagram Veritabanı Dosyaları Alın (“Instagram Veritabanı Dosyaları Al”)
Bu, LightSpy’nin sosyal medya veritabanı çıkarma işleminin ilk bilinen entegrasyonunu, potansiyel olarak özel mesajları, iletişim listelerini ve SQLite veritabanlarında depolanan kimlik doğrulama jetonlarını temsil eder.
Windows Gözetim Eklentileri ve Sistem Entegrasyonu
149.104.18’in analizi[.]80 Sunucunun Port 40002 uç noktası, x86/x64 mimarileri için tasarlanmış 15 Windows’a özgü DLL eklentisini ortaya çıkardı. Bu bileşenler aşağıdakiler aracılığıyla gözetim yetenekleri sergiler:
- Keyloglib32m.dll/keyloglib64m.dll: Çekirdek seviyesi tuş vuruşu günlüğü
- Audiox64m.dll/audiom.dll: Windows Audio Oturum API (WASAPI) aracılığıyla Sistem Audio yakalama
- Video64m.dll/video.dll: Masaüstü Çoğaltma API tabanlı ekran kaydı
Eklentiler, W: \ YK \ Bigfoot \ bin*.pdb gibi PDB yolları tarafından kanıtlanan bir geliştirme modelini takip ederek bölümlere ayrılmış proje yapıları önerir.
Sürüm numaralandırma (0.0.0.0-0.0.0.2) aktif geliştirme döngülerini gösterir, “Terminal” eklentileri komut yürütme izlemesi için muhtemelen Windows Konsolu API’sına bağlanır.
LightSpy’nin Altyapısı: Çok Portlu C2 kanalları kullanır:
- Port 30000: iOS Core sürüm yönetimi (Light.framework.zip)
- Port 40002: Windows eklentisi dağıtımı
- Port 10000: Yönetici paneli kimlik doğrulaması (/ujmfanncy76211/giriş)
Çerçevenin Vue.js tabanlı yönetici arayüzü (konsol v3.5.0), yanlış yapılandırılmış /üçüncü_login /: kullanıcı adı uç noktası ile kısaca maruz kaldı, cihaz gruplama özelliklerini ve gerçek zamanlı terminal günlüğü erişimini ortaya çıkardı.
2021-12-31 çekirdek versiyonundan (MD5: 81D2BD4781E3753B508FF6D966DBF160) adli eserler, 2020-12-21 yapısına kıyasla gelişmiş oturum kalıcılık mekanizmaları gösterir.
Kurumsal savunma için azaltma stratejileri
Kuruluşlar uygulamalıdır:
- iOS kilitleme modu: Tam zamanında (JIT) JavaScript derlemesini devre dışı bırakarak saldırı yüzeylerini kısıtlar
- Android Geliştirilmiş Oyun Protect: Lightspy’nin İmzalı WASM tabanlı yükler için kenar yüklü APK’ları tarar
- Windows Bellek Bütünlüğü Kontrolleri: Keyloglib64m.dll gibi imzasız sürücüleri engeller Hipervizör korumalı kod bütünlüğü (HVCI)
Ağ savunucuları LightSpy’nin TLS parmak izini (JA3: 6734F3741670B3AB4292B8F60F29984) tespit edebilir ve /963852741/ios/version.json uç noktaları olan anormal istekleri izleyebilir.
Çerçevenin genişletilmiş komut seti, tehdit aktörlerinin şu olmasını sağlar:
- Rogue CA sertifikalarını kullanarak MITM saldırılarıyla zincir veritabanı çıkarma (komutlar 83001-83002)
- Sosyal medya meta verilerini CAPX64M.DLL’nin ekran görüntüsü özelliklerinden coğrafi konum verileri ile ilişkilendirin
- USBX64M.DLL aracılığıyla USB Cihaz Emülasyonu aracılığıyla kalıcılık oluşturun
Bu gelişme, LightSpy’yi işletim sistemine özgü güvenlik açıklarını platformlar arası izinsiz giriş kampanyalarına köprüleyebilen polimorfik bir tehdit olarak konumlandırıyor.
Eklenti dağılımı ve C2 operasyonlarındaki rolleri göz önüne alındığında, Cloudie sınırlı barındırılmış IP’lerin izlenmesi (103.238.227[.]138, 43.248.8[.]108) kritiktir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun