LightSpy tehdit aktörü, iOS cihazlarını tehlikeye atmak için halka açık güvenlik açıklarından ve jailbreak kitlerinden yararlandı. Hatta kötü amaçlı yazılımın çekirdek ikili dosyaları, jailbreak kitlerinde kullanılan sertifikanın aynısıyla imzalanmıştı, bu da derin entegrasyona işaret ediyordu.
26 Ekim 2022’ye kadar aktif olan C2 sunucuları, MaaS olarak olmasa da muhtemelen gösteri amaçlı olarak güncel olmayan kötü amaçlı yazılımlara ev sahipliği yapıyordu.
iOS ve macOS sürümleri, temel işlevleri paylaşırken, platform farklılıkları nedeniyle kullanım sonrası ve ayrıcalık yükseltme tekniklerinde farklılık gösteriyordu.
Hedef cihaza erişim sağlamak için iOS 13.5’te düzeltilen CVE-2020-9802 güvenlik açığından yararlandı ancak tehdit aktörü, iOS 13.6’da yamalı olan CVE-2020-9870 ve CVE-2020-9910’u atladı.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Bu istismar, Mach-O yürütülebilir ikili dosyasını dağıtarak CVE-2020-3837 olarak bilinen ve sonuçta jailbreak’e yol açan bir güvenlik açığından yararlandı.
Jailbreak’li cihaz, LightSpy Core ve eklentilerini indirip çalıştıran FrameworkLoader’ı indirip çalıştırırken Core, daha fazla kötü amaçlı etkinlik için C2 sunucusuyla iletişim kurdu.
LightSpy iOS Implant, jailbreak işlevlerine dayanan ve C2 sunucusuyla iletişim kuran bir çekirdek kitaplık (LightSpy Core) ve birden fazla eklenti içeren çok parçalı bir arşivdir.
Ağ iletişimi, veritabanı erişimi ve arşiv çıkarma işlemlerinin tümü, çeşitli kitaplıkların kullanılmasıyla gerçekleştirilir.
Bir C2 bağlantısı kurduktan sonra LightSpy Core, yapılandırmayı ayrıştırır ve görevleri, Core’un kendisinin sesleri çalabileceği ve eklentilerle iletişim kurmak için bir ağ yığınını kullanabileceği eklentilere dağıtır.
Veri sızdırma (kişiler, mesajlar, uygulama verileri), konum izleme, ekran yakalama ve hatta önyüklemeyi devre dışı bırakmak veya dosyaları silmek gibi yıkıcı eylemler için çeşitli eklentiler sunar.
Tehdit aktörleri, 103.27.109.217 IP adresi üzerinde altyapı kurmak için kendinden imzalı sertifikalardan yararlandı.
Açık kaynak istihbaratı, bu sertifikayı paylaşan birden fazla sunucuyu ortaya çıkardı. Araştırmacılar, belirli IP adreslerine ve bağlantı noktalarına GET istekleri göndererek iOS kampanyasına bağlı sunucuları belirlediler.
Threat Fabric’in araştırması, kampanyayla ilişkili beş önemli IP adresini ortaya çıkardı; bunlardan ikisi yönetim panelini barındırıyordu.
İndirilen ikili dosyalar içindeki kaynak kodu dosya yollarına dayalı analiz, LightSpy iOS projesinde en az üç geliştiricinin çalıştığını öne sürüyor: ikisi eklenti geliştirmeye odaklanmış ve bir lider geliştirici, Çekirdek ve ayrıcalık yükseltme bileşenlerinden sorumlu.
Xcode, kullanıcı ve kuruluş adlarını başlık dosyalarına otomatik olarak ekleyerek bu geliştiricilerin tanımlanmasına yardımcı oldu.
Aynı kullanıcı hesabındaki dosya yolu farklılıkları, aynı geliştirici tarafından birden fazla makinenin kullanılması olasılığını akla getirir.
LightSpy iOS vakası, özellikle bölgesel kısıtlamalar tarafından engellenen cihazlara zarar vermek için sıfır gün ve bir günlük saldırılardan yararlanan gelişmiş bir tehdit aktörünü ortaya koyuyor.
Saldırganlar, izleri silmek ve araçlarının potansiyelini göstermek için yıkıcı yetenekler kullanıyor; Çin’e özgü bir sisteme bağlı bir konum eklentisinin keşfi ise güçlü bir şekilde Çin kökenlerini akla getiriyor.
Riskleri azaltmak için kullanıcılara cihazlarını güncel tutmaları, sürekli saldırıları engellemek için düzenli olarak yeniden başlatmaları ve yazılım güncellemelerinin kısıtlı olduğu bölgelerde dikkatli olmaları tavsiye ediliyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!