針對(duì)香港iOS用戶進(jìn)行水坑攻擊的LightSpy惡意軟件，近日被發(fā)現(xiàn)嵌入在來自20臺(tái)活躍服務(wù)器的安卓植入體Core（核心）及其14個(gè)相關(guān)插件當(dāng)中，用于攻擊移動(dòng)用戶。

LightSpy是一種移動(dòng)高級(jí)持續(xù)性威脅（mAPT），它使用新穎的復(fù)雜技術(shù)來攻擊移動(dòng)用戶。其中，這個(gè)惡意軟件已被證實(shí)出自黑客組織APT41之手。

最近的報(bào)告表明，該惡意軟件一直在使用微信支付系統(tǒng)訪問支付數(shù)據(jù)、監(jiān)控私密通信，并執(zhí)行各種惡意活動(dòng)。

LightSpy APT攻擊微信用戶

據(jù)多起報(bào)告顯示，LightSpy惡意軟件是一套功能齊全的模塊化監(jiān)視工具集，被發(fā)現(xiàn)使用各種插件來泄露并竊取私密數(shù)據(jù)和支付數(shù)據(jù)。此外，該惡意軟件強(qiáng)烈關(guān)注受害者的私密信息。

其功能包括：利用后端基礎(chǔ)設(shè)施從微信支付中泄露支付數(shù)據(jù)，并從微信獲取音頻相關(guān)功能，以記錄受害者的VOIP對(duì)話內(nèi)容。

然而，該惡意軟件不能作為一個(gè)獨(dú)立的應(yīng)用程序來運(yùn)行，因?yàn)樗彩且粋€(gè)插件，該惡意軟件的核心負(fù)責(zé)執(zhí)行整條攻擊鏈所需的所有功能。

核心功能包括設(shè)備指紋收集、控制服務(wù)器連接建立、從服務(wù)器檢索命令以及更新自身和額外的攻擊載荷文件（又叫作插件）。

LightSpy的14個(gè)插件

該惡意軟件已添加了多個(gè)插件，包括soft list（軟列表）、baseinfo（基礎(chǔ)信息）、bill（賬單）、cameramodule（攝像頭模塊）、chatfile（聊天文件）、filemanager（文件管理器）、locationmodule（位置模塊）、locationBaidu（位置百度）、qq、shell、soundrecord（錄音）、telegram、wechat（微信）和wifi。

信息來源： ThreatFabric

正如報(bào)告中提到，最重要的插件之一是位置模塊插件，它負(fù)責(zé)位置跟蹤，可以發(fā)送當(dāng)前位置的快照，也可以設(shè)置指定時(shí)間間隔的位置跟蹤。這個(gè)插件基于兩個(gè)位置跟蹤框架：騰訊位置SDK和百度位置SDK。

另一個(gè)重要的插件是Soundrecord（錄音）插件，它負(fù)責(zé)錄制音頻。這個(gè)插件還可以立即或在指定的時(shí)間間隔開始麥克風(fēng)錄音。此外，這個(gè)插件還可以記錄來電通話內(nèi)容。

Bill（賬單）插件是另一個(gè)重要的插件，它負(fù)責(zé)從微信支付收集受害者的支付歷史信息，這包括上一筆賬單的ID、賬單類型、交易ID、日期以及已支付處理的標(biāo)志。

iOS命令和安卓命令之間的關(guān)系（來源：ThreatFabric）

基礎(chǔ)設(shè)施

LightSpy基礎(chǔ)設(shè)施包含幾十個(gè)服務(wù)器，分布在中國大陸、中國香港、中國臺(tái)灣、新加坡和俄羅斯，由于一些服務(wù)器返回不同的命令和載荷，可以推測攻擊者為每次活動(dòng)使用不同的IP地址或域。與此同時(shí)，由于一些服務(wù)器返回載荷（應(yīng)該是在2018年編譯的），可以假設(shè)攻擊者可以在幾個(gè)攻擊活動(dòng)中重復(fù)使用同一套基礎(chǔ)設(shè)施。另一個(gè)關(guān)于長壽命服務(wù)器的假設(shè)是，安全行業(yè)人士常常不會(huì)發(fā)現(xiàn)/披露這些服務(wù)器，因此不需要更改IP地址。

在分析LightSpy基礎(chǔ)設(shè)施時(shí)，我們發(fā)現(xiàn)了兩個(gè)值得注意的時(shí)刻：

LightSpy與AndroidControl（WyrmSpy）的聯(lián)系

我們獲取了硬編碼到核心中的IP地址，與Lookout報(bào)告中披露的IP地址是同一個(gè)。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

結(jié)果是35900端口已關(guān)閉，主機(jī)沒有響應(yīng)LightSpy請(qǐng)求。同時(shí)，有幾個(gè)開放的端口提供https服務(wù)。

端口11090對(duì)應(yīng)的https服務(wù)器使用過期證書加以保護(hù)，SHA256指紋為f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824，還有另外兩臺(tái)主機(jī)使用相同的服務(wù)和相同的證書。兩臺(tái)主機(jī)都打開了端口443，服務(wù)于一個(gè)名為AndroidControl v1.0.4的管理面板。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

有第三臺(tái)主機(jī)具有相同的收藏夾圖標(biāo)（MD5散列542974b44d9c9797bcbc9d9218d9aee5），它托管相同的面板。這個(gè)主機(jī)上的面板錯(cuò)誤配置，暴露了應(yīng)該用于前后端之間通信的后端端點(diǎn)：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

第一個(gè)值得關(guān)注的點(diǎn)是“控制”端點(diǎn)，這種端點(diǎn)位于Lookout報(bào)告的WyrmSpy樣本中。

為了確認(rèn)這三個(gè)主機(jī)與WyrmSpy有關(guān)，我們做了一個(gè)簡單的請(qǐng)求雙“控制”端點(diǎn)，看到了相同的結(jié)果：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

在WyrmSpy的代碼中，我們可以看到它等待對(duì)含有字段“suc”的請(qǐng)求進(jìn)行響應(yīng)：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

因此，這三個(gè)主機(jī)都是WyrmSpy的活躍C2，或者正如攻擊者所命名的AndroidControl或androidRat。

由于面板在處于調(diào)試模式的Django中，它暴露了一些內(nèi)部信息，比如一個(gè)內(nèi)部文件夾（整個(gè)前端和后端文件存儲(chǔ)在服務(wù)器中），以及另一個(gè)IP地址47.115.7[.]112：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

LightSpy面板

其中一臺(tái)C2服務(wù)53601端口，該服務(wù)含有Admin面板：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

面板在VUEJS中，除了面板結(jié)構(gòu)外，我們?cè)诘讓記]有發(fā)現(xiàn)任何值得注意的痕跡。VUEJS節(jié)點(diǎn)的功能仍然不清楚。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

一篇關(guān)于LightSpy的完整報(bào)告已經(jīng)由ThreatFabric發(fā)布（詳見https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack），提供了有關(guān)威脅途徑、源代碼、分析及其他信息的詳細(xì)信息。

攻陷指標(biāo)

控制服務(wù)器：

域

spaceskd[.]com

IP

103.27.108[.]207

46.17.43[.]74

文件哈希：

第二階段載荷（smallmload .jar）

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c 

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

插件

文章翻譯自：https://gbhackers.com/lightspy-apt-attacking-wechat-users/如若轉(zhuǎn)載，請(qǐng)注明原文地址