Bilgisayar korsanları, kullanıcı tabanı ve algılanan güvenlik açıkları nedeniyle sıklıkla iOS’u hedef alıyor. Apple’ın güçlü güvenlik önlemlerine rağmen, işletim sistemindeki ve üçüncü taraf uygulamalardaki kusurlar, tehdit aktörleri tarafından cihazlara “yetkisiz erişim” elde etmelerine olanak sağlayacak şekilde kullanılabilir.
ThreatFabric araştırmacıları yakın zamanda LightSpy iOS kötü amaçlı yazılımının yıkıcı yeteneklere sahip 28 eklenti içerecek şekilde yükseltildiğini keşfetti.
LightSpy iOS Kötü Amaçlı Yazılımı Yükseltildi
Mayıs 2024’te siber güvenlik firması ThreatFabric, LightSpy kötü amaçlı yazılım ekosisteminde hem “macOS” hem de “iOS” kampanyalarını yöneten “birleşik sunucu altyapısını” ortaya çıkaran önemli gelişmeleri ortaya çıkardı.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Araştırmaları, iOS için “LightSpy”ın gelişmiş bir sürümünü (sürüm 7.9.0, 6.0.0 sürümünden yükseltme) tespit etti; bu sürüm, kötü amaçlı yeteneklerinde önemli gelişmeler gösterdi.
Kötü amaçlı yazılımın mimarisi, özellikle “/usr/sbin/nvram auto-boot=false” gibi komutlar yoluyla önyükleme sürecini hedefleyerek, cihaz işlemlerini kesintiye uğratabilen, özel olarak tasarlanmış yedi eklentiyle birlikte 28 farklı eklentiyi (orijinal 12’den artırılmıştır) içerecek şekilde genişletildi.
Aşağıda 28 eklentinin tamamından bahsettik: –
- Uygulama Silme
- Temel Bilgi
- Önyükleme imhası
- Tarayıcı
- TarayıcıSil
- kamera modülü
- İletişimSil
- Çekirdek Dosyasını Sil
- Baharı Sil
- Çevresel Kayıt
- DosyaYönet
- ios_line
- ios_mail
- ios_qq
- ios_telegram
- ios_wechat
- ios_whatsapp
- Anahtarlık
- kara cihazları
- Konum
- MedyaSil
- Anlık Mesaj
- Ekran_kapağı
- Kabuk Komutu
- SMSSil
- SoftInfo
- WifiSil
- WifiListesi
Tehdit aktörleri, iki kritik güvenlik açığından yararlanarak 13.3’e kadar iOS sürümlerini destekleyerek erişim alanlarını genişletti: –
- WebKit kullanımı yoluyla ilk sistem erişimi için ‘CVE-2020-9802’.
- Yükseltilmiş sistem ayrıcalıkları elde etmek için ‘CVE-2020-3837’.
Kötü amaçlı yazılım, veri iletimi için “WebSocket bağlantılarını” kullanarak beş aktif “C2” sunucusu üzerinden iletişimi sürdürdü ve en son dağıtım zaman damgası 26 Ekim 2022 olarak kaydedildi.
Enfeksiyon zinciri, “HTML tabanlı bir istismar dağıtım sistemi” ile başladı ve bunu, daha sonra ana “LightSpy Core” ve eklentilerinin kurulumunu kolaylaştıran “FrameworkLoader” (“ircloader” olarak da bilinir) kullanan bir jailbreak aşaması takip etti.
Bunun yanı sıra dikkate değer özellikler arasında “yapılandırma verileri için” 3e2717e8b3873b29 “anahtarına sahip “AES ECB şifrelemesi”, “komut depolaması için SQL veritabanı uygulaması” (light.db kullanılarak) ve “karmaşık eklentiler” yer alıyordu.
Eklentiler, e-posta güvenliğinin ihlali için NetEase’in Mail Master uygulamasını hedefleyen ‘ios_mail’ ve 8087 numaralı bağlantı noktası aracılığıyla yanıltıcı anlık bildirimler oluşturmak için ‘PushMessage’dır.
LightSpy “103.27.109” IP adresi üzerinden çalışır[.]217” olup, “C2” altyapısı için “kendinden imzalı SSL sertifikaları” kullanmaktadır.
Kötü amaçlı yazılım, “1 günlük güvenlik açıkları” (kamuya açıklanmış güvenlik açıkları) ve sulama deliği saldırıları (güvenliği ihlal edilmiş meşru web siteleri) yoluyla belirli “iOS sürümlerini” hedef alarak cihaz yeniden başlatıldıktan sonra devam etmeyen “Köksüz Jailbreak” tekniğini kullandı.
Altyapı, “3458” ve “53501” bağlantı noktalarında iki yönetim paneli ve “222.219.183” adresinde ek bir kontrol sunucusu içeriyordu.[.]84.”
Sızdırılan verilerin analizi, “Haso_618_5G” adlı bir Wi-Fi ağına bağlanan, çoğunlukla “Çin” ve “Hong Kong”dan gelen 15 kurbanı (8 iOS cihazı) ortaya çıkardı.
Kötü amaçlı yazılımın temel işlevi (sürüm 7.9.0), çeşitli eklentiler aracılığıyla uygulanan “kişi listesini silme” ve “sistem bileşenini silme” gibi yıkıcı yetenekleri içeriyordu.
Kaynak kodu incelemesi, farklı kullanıcı adlarına (“air”, “mac” ve “test”) ve dosya yollarına (/Users/air/work/znf_ios/ios/, /Users/mac/dev/iosmm/, vb.) sahip geliştirme ortamlarını açığa çıkardı .), en az üç geliştiriciden oluşan bir ekip önermektedir.
Bunun yanı sıra, konum eklentisindeki “Çin’e özgü” koordinat yeniden hesaplama sistemi ve “Xcode başlık dosyalarındaki” Çince dil işaretleyicileri de dahil olmak üzere teknik göstergeler, Çin menşeini güçlü bir şekilde akla getiriyor.
Kötü amaçlı yazılımın etkinliği “iOS güncelleme döngüleri” ile kısmen sınırlıydı, ancak Çin’in Büyük Güvenlik Duvarı’ndan etkilenen bölgelerdeki kullanıcılar, sistem güncellemelerine sınırlı erişim nedeniyle savunmasız kaldı.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!