LightSpy Hackerları Hintli Apple Cihaz Kullanıcılarının Verilerini Çalacak

   Nisan 15, 2024  Posted in GBHackers


LightSpy kötü amaçlı yazılım kampanyasının, Hintli Apple cihazı kullanıcılarına odaklanarak yeniden canlandığı gözlemlendi.

Kökeni Çin olduğundan şüphelenilen bu gelişmiş mobil casus yazılım, casusluk amacıyla kullanılıyor ve Güney Asya’daki gazeteciler, aktivistler, politikacılar ve diplomatlar da dahil olmak üzere seçilmiş bir grup kişiyi hedef alıyor.

Bu tür hedefli saldırıların etkileri çok büyüktür ve kampanyanın ardındaki potansiyel jeopolitik saiklere ilişkin alarmları artırmaktadır.


Saldırının Teknik Detayları:

Enfeksiyon Vektörü: İlk enfeksiyonun, Hong Kong ile ilgili içeriğe sahip, güvenliği ihlal edilmiş haber siteleri aracılığıyla meydana geldiğine inanılıyor.

Bu sitelerin ziyaretçileri bilmeden kötü amaçlı yazılımı indirerek bulaşma sürecini başlatır.

Silahlanma: Enfeksiyon üzerine, birinci aşama implant cihaz bilgilerini toplar ve çekirdek LightSpy implantı ve çeşitli eklentiler dahil olmak üzere sonraki aşamaların indirilmesini kolaylaştırır.

Belge

Gelişmiş Kimlik Avı Saldırısını Yapay Zekayla Durdurun

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .

Bu eklentiler, belirli casusluk işlevleri için tasarlanmış olup, kötü amaçlı yazılımın, virüslü cihazdan hassas verileri toplama yeteneğini artırır.

Karma değerler (md5, sha-256):

  • 4b973335755bd8d48f34081b6d1bea9ed18ac1f68879d4b0a9211bbab8fa5ff4
  • 2178d673779605ffb9cf7f2fa3ec8e97

Dosya bilgisi:

  • Dosya adı: Hiçbiri
  • Dosya boyutu: 430816 bayt
  • Dosya Türü/İmza: Mach-O64
Yükleyicinin imzası.
Yükleyicinin imzası.

Blackberry’nin son blog yazısı, casusluk kampanyası LightSpy’ın yeniden dirilişine dikkat çekiyor.

Bu kampanya Güney Asya’yı hedefliyor ve muhtemelen Hindistan’a odaklanıyor.

Yürütme Zinciri

Yürütme, şifrelenmiş ve şifresi çözülmüş LightSpy çekirdeğini yükleyen bir Yükleyici ile başlar.

Bu çekirdek, genişletilmiş işlevsellik için çeşitli eklentileri destekleyebilen karmaşık bir casusluk çerçevesi görevi görür.

Bu eklentiler saldırganın sunucusundan güvenli bir şekilde alınır, şifresi çözülür ve sistem içinde çalıştırılır.

Karma değerler (md5, sha-256):

  • 0f66a4daba647486d2c9d838592cba298df2dbf38f2008b6571af8a562bc306c
  • 59ac7dd41dca19a25a78a242e93a7ded

Dosya bilgisi:

  • Dosya adı: C40F0D27
  • Dosya boyutu: 1252656 bayt
  • Dosya Türü/İmza: Mach-O64
LightSpy'ın ses kayıt eklentisi.
LightSpy’ın ses kayıt eklentisi.

F_Warehouse çerçevesi LightSpy’ı destekler ve dosya sızdırma, ses kaydı, ağ gözetimi, kullanıcı etkinliği izleme, uygulama envanteri, görüntü yakalama, kimlik bilgilerine erişim ve cihaz numaralandırma gibi birçok özellik sunar.

LightSpy Yetenekleri

LightSpy’ın daha istilacı özelliklerinden biri, cihazın mikrofonu aracılığıyla gizlice ses kaydetme, özel konuşmaları ve çevredeki sesleri yakalama yeteneğidir.

LightSpy, hem Safari hem de Google Chrome’un tarama geçmişini titizlikle takip ederek saldırganlara kurbanın çevrimiçi etkinliklerine ilişkin ayrıntılı bilgiler sağlar.

LightSpy'ın tarama bilgileri eklentisi.
LightSpy’ın tarama bilgileri eklentisi.

Kötü amaçlı yazılım, Telegram, QQ ve WeChat gibi popüler mesajlaşma uygulamalarındaki verileri açıkça hedef alarak özel iletişimlere müdahale etmeyi ve hassas bilgiler toplamayı amaçlıyor.

Telegram'ın verileriyle çalışan kod.

Kabuk Komutunun Yürütülmesi

LightSpy, veri sızdırmanın ötesinde, saldırganın sunucusundan alınan kabuk komutlarını yürütebilir ve potansiyel olarak ele geçirilen cihaz üzerinde tam kontrole izin verebilir.

Eklenti kodunda Çince yorumların bulunması, LightSpy’ın arkasındaki geliştiricilerin anadili Çince olan kişiler olduğunu ve devlet destekli aktörlerin dahil olduğunu ima ediyor.

Kodun Çince dilindeki yorumları.
Kodun Çince dilindeki yorumları.

LightSpy, hxxps://103.27 adresindeki bir sunucuyla iletişim kurar.[.]109[.]217:52202, 3458 numaralı bağlantı noktasından erişilebilen bir yönetici panelini barındırır.

LightSpy'ın yönetici paneli.
LightSpy’ın yönetici paneli.

“F_Warehouse” çerçevesi tarafından sürdürülen LightSpy’ın geri dönüşü, mobil casusluk tehditlerinde önemli bir artışa işaret ediyor.

Bu kötü amaçlı yazılımın genişletilmiş yetenekleri, Güney Asya’daki bireyler ve kuruluşlar için ciddi bir risk oluşturmaktadır.

Çince konuşan geliştiricilerin özellikle hassas faaliyetlere katılma potansiyeli olan bireyleri hedef aldığını gösteren kanıtlar, daha fazla dikkat ve sağlam güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.

LightSpy’ın kullandığı taktikleri ve teknikleri anlamak, etkisinin azaltılması ve hassas bilgilerin korunması açısından çok önemlidir.

Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.



Source link