偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

安全 應(yīng)用安全
LightSpy是一種移動(dòng)高級(jí)持續(xù)性威脅(mAPT),它使用新穎的復(fù)雜技術(shù)來攻擊移動(dòng)用戶。其中,這個(gè)惡意軟件已被證實(shí)出自黑客組織APT41之手。最近的報(bào)告表明,該惡意軟件一直在使用微信支付系統(tǒng)訪問支付數(shù)據(jù)、監(jiān)控私密通信,并執(zhí)行各種惡意活動(dòng)。

針對(duì)香港iOS用戶進(jìn)行水坑攻擊的LightSpy惡意軟件,近日被發(fā)現(xiàn)嵌入在來自20臺(tái)活躍服務(wù)器的安卓植入體Core(核心)及其14個(gè)相關(guān)插件當(dāng)中,用于攻擊移動(dòng)用戶。

LightSpy是一種移動(dòng)高級(jí)持續(xù)性威脅(mAPT),它使用新穎的復(fù)雜技術(shù)來攻擊移動(dòng)用戶。其中,這個(gè)惡意軟件已被證實(shí)出自黑客組織APT41之手。

最近的報(bào)告表明,該惡意軟件一直在使用微信支付系統(tǒng)訪問支付數(shù)據(jù)、監(jiān)控私密通信,并執(zhí)行各種惡意活動(dòng)。

LightSpy APT攻擊微信用戶

據(jù)多起報(bào)告顯示,LightSpy惡意軟件是一套功能齊全的模塊化監(jiān)視工具集,被發(fā)現(xiàn)使用各種插件來泄露并竊取私密數(shù)據(jù)和支付數(shù)據(jù)。此外,該惡意軟件強(qiáng)烈關(guān)注受害者的私密信息。

其功能包括:利用后端基礎(chǔ)設(shè)施從微信支付中泄露支付數(shù)據(jù),并從微信獲取音頻相關(guān)功能,以記錄受害者的VOIP對(duì)話內(nèi)容。

然而,該惡意軟件不能作為一個(gè)獨(dú)立的應(yīng)用程序來運(yùn)行,因?yàn)樗彩且粋€(gè)插件,該惡意軟件的核心負(fù)責(zé)執(zhí)行整條攻擊鏈所需的所有功能。

核心功能包括設(shè)備指紋收集、控制服務(wù)器連接建立、從服務(wù)器檢索命令以及更新自身和額外的攻擊載荷文件(又叫作插件)。

LightSpy的14個(gè)插件

該惡意軟件已添加了多個(gè)插件,包括soft list(軟列表)、baseinfo(基礎(chǔ)信息)、bill(賬單)、cameramodule(攝像頭模塊)、chatfile(聊天文件)、filemanager(文件管理器)、locationmodule(位置模塊)、locationBaidu(位置百度)、qq、shell、soundrecord(錄音)、telegram、wechat(微信)和wifi。

信息來源: ThreatFabric信息來源: ThreatFabric

正如報(bào)告中提到,最重要的插件之一是位置模塊插件,它負(fù)責(zé)位置跟蹤,可以發(fā)送當(dāng)前位置的快照,也可以設(shè)置指定時(shí)間間隔的位置跟蹤。這個(gè)插件基于兩個(gè)位置跟蹤框架:騰訊位置SDK和百度位置SDK。

另一個(gè)重要的插件是Soundrecord(錄音)插件,它負(fù)責(zé)錄制音頻。這個(gè)插件還可以立即或在指定的時(shí)間間隔開始麥克風(fēng)錄音。此外,這個(gè)插件還可以記錄來電通話內(nèi)容。

Bill(賬單)插件是另一個(gè)重要的插件,它負(fù)責(zé)從微信支付收集受害者的支付歷史信息,這包括上一筆賬單的ID、賬單類型、交易ID、日期以及已支付處理的標(biāo)志。

iOS命令和安卓命令之間的關(guān)系(來源:ThreatFabric)iOS命令和安卓命令之間的關(guān)系(來源:ThreatFabric)

基礎(chǔ)設(shè)施

LightSpy基礎(chǔ)設(shè)施包含幾十個(gè)服務(wù)器,分布在中國大陸、中國香港、中國臺(tái)灣、新加坡和俄羅斯,由于一些服務(wù)器返回不同的命令和載荷,可以推測攻擊者為每次活動(dòng)使用不同的IP地址或域。與此同時(shí),由于一些服務(wù)器返回載荷(應(yīng)該是在2018年編譯的),可以假設(shè)攻擊者可以在幾個(gè)攻擊活動(dòng)中重復(fù)使用同一套基礎(chǔ)設(shè)施。另一個(gè)關(guān)于長壽命服務(wù)器的假設(shè)是,安全行業(yè)人士常常不會(huì)發(fā)現(xiàn)/披露這些服務(wù)器,因此不需要更改IP地址。

在分析LightSpy基礎(chǔ)設(shè)施時(shí),我們發(fā)現(xiàn)了兩個(gè)值得注意的時(shí)刻:

LightSpy與AndroidControl(WyrmSpy)的聯(lián)系

我們獲取了硬編碼到核心中的IP地址,與Lookout報(bào)告中披露的IP地址是同一個(gè)。

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

結(jié)果是35900端口已關(guān)閉,主機(jī)沒有響應(yīng)LightSpy請(qǐng)求。同時(shí),有幾個(gè)開放的端口提供https服務(wù)。

端口11090對(duì)應(yīng)的https服務(wù)器使用過期證書加以保護(hù),SHA256指紋為f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824,還有另外兩臺(tái)主機(jī)使用相同的服務(wù)和相同的證書。兩臺(tái)主機(jī)都打開了端口443,服務(wù)于一個(gè)名為AndroidControl v1.0.4的管理面板。

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

有第三臺(tái)主機(jī)具有相同的收藏夾圖標(biāo)(MD5散列542974b44d9c9797bcbc9d9218d9aee5),它托管相同的面板。這個(gè)主機(jī)上的面板錯(cuò)誤配置,暴露了應(yīng)該用于前后端之間通信的后端端點(diǎn):

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

第一個(gè)值得關(guān)注的點(diǎn)是“控制”端點(diǎn),這種端點(diǎn)位于Lookout報(bào)告的WyrmSpy樣本中。

為了確認(rèn)這三個(gè)主機(jī)與WyrmSpy有關(guān),我們做了一個(gè)簡單的請(qǐng)求雙“控制”端點(diǎn),看到了相同的結(jié)果:

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

在WyrmSpy的代碼中,我們可以看到它等待對(duì)含有字段“suc”的請(qǐng)求進(jìn)行響應(yīng):

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

因此,這三個(gè)主機(jī)都是WyrmSpy的活躍C2,或者正如攻擊者所命名的AndroidControl或androidRat。

由于面板在處于調(diào)試模式的Django中,它暴露了一些內(nèi)部信息,比如一個(gè)內(nèi)部文件夾(整個(gè)前端和后端文件存儲(chǔ)在服務(wù)器中),以及另一個(gè)IP地址47.115.7[.]112:

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

LightSpy面板

其中一臺(tái)C2服務(wù)53601端口,該服務(wù)含有Admin面板:

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

面板在VUEJS中,除了面板結(jié)構(gòu)外,我們?cè)诘讓記]有發(fā)現(xiàn)任何值得注意的痕跡。VUEJS節(jié)點(diǎn)的功能仍然不清楚。

LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)LightSpy APT攻擊微信用戶,竊取支付數(shù)據(jù)

一篇關(guān)于LightSpy的完整報(bào)告已經(jīng)由ThreatFabric發(fā)布(詳見https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack),提供了有關(guān)威脅途徑、源代碼、分析及其他信息的詳細(xì)信息。

攻陷指標(biāo)

控制服務(wù)器:

spaceskd[.]com

IP

103.27.108[.]207

46.17.43[.]74

文件哈希:

第二階段載荷(smallmload .jar)

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c 

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

SHA256

版本

68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541

6.5.24

5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00

6.5.24

bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc

6.5.25

9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd

6.2.1

a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3

6.5.19

77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b

6.2.0

d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e

6.2.1

3849adc161d699edaca161d5b6335dfb7e5005056679907618d5e74b9f78792f

6.2.6

2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4

5.2.1

插件

插件名稱

SHA256

softlist

7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112

baseinfo

cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89

bill

c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6

cameramodule

bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325

chatfile

7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b

filemanager

e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546

locationmodule

bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04

locationBaidu

177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1

qq

f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5

shell

e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be

soundrecord

c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e

telegram

71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486

wechat

bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1

wifi

446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11

文章翻譯自:https://gbhackers.com/lightspy-apt-attacking-wechat-users/如若轉(zhuǎn)載,請(qǐng)注明原文地址

責(zé)任編輯:武曉燕 來源: 嘶吼網(wǎng)
相關(guān)推薦

2009-08-18 18:00:58

2014-11-24 18:07:43

2013-07-27 20:14:20

2020-10-16 12:11:31

網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全黑客

2021-11-23 10:52:19

Magecart攻擊NCSC黑客

2020-11-20 11:02:11

Platypus

2025-02-26 15:08:20

2018-12-04 11:48:45

微信支付病毒勒索

2014-04-16 13:26:21

2014-02-28 15:31:13

2021-10-14 15:02:36

密碼攻擊信息安全

2013-12-18 16:40:26

新浪信用寶信用支付

2017-08-04 15:16:55

大數(shù)據(jù)動(dòng)向用戶支付

2011-10-31 09:37:16

微信騰訊用戶數(shù)

2018-04-13 11:14:42

2012-07-30 09:59:30

2018-07-04 15:10:28

2022-08-19 15:40:08

密碼證書安全

2011-09-19 15:40:35

2012-08-14 10:27:51

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)