針對香港iOS用戶進(jìn)行水坑攻擊的LightSpy惡意軟件，近日被發(fā)現(xiàn)嵌入在來自20臺活躍服務(wù)器的安卓植入體Core（核心）及其14個相關(guān)插件當(dāng)中，用于攻擊移動用戶。

LightSpy是一種移動高級持續(xù)性威脅（mAPT），它使用新穎的復(fù)雜技術(shù)來攻擊移動用戶。其中，這個惡意軟件已被證實(shí)出自黑客組織APT41之手。

最近的報(bào)告表明，該惡意軟件一直在使用微信支付系統(tǒng)訪問支付數(shù)據(jù)、監(jiān)控私密通信，并執(zhí)行各種惡意活動。

LightSpy APT攻擊微信用戶

據(jù)多起報(bào)告顯示，LightSpy惡意軟件是一套功能齊全的模塊化監(jiān)視工具集，被發(fā)現(xiàn)使用各種插件來泄露并竊取私密數(shù)據(jù)和支付數(shù)據(jù)。此外，該惡意軟件強(qiáng)烈關(guān)注受害者的私密信息。

其功能包括：利用后端基礎(chǔ)設(shè)施從微信支付中泄露支付數(shù)據(jù)，并從微信獲取音頻相關(guān)功能，以記錄受害者的VOIP對話內(nèi)容。

然而，該惡意軟件不能作為一個獨(dú)立的應(yīng)用程序來運(yùn)行，因?yàn)樗彩且粋€插件，該惡意軟件的核心負(fù)責(zé)執(zhí)行整條攻擊鏈所需的所有功能。

核心功能包括設(shè)備指紋收集、控制服務(wù)器連接建立、從服務(wù)器檢索命令以及更新自身和額外的攻擊載荷文件（又叫作插件）。

LightSpy的14個插件

該惡意軟件已添加了多個插件，包括soft list（軟列表）、baseinfo（基礎(chǔ)信息）、bill（賬單）、cameramodule（攝像頭模塊）、chatfile（聊天文件）、filemanager（文件管理器）、locationmodule（位置模塊）、locationBaidu（位置百度）、qq、shell、soundrecord（錄音）、telegram、wechat（微信）和wifi。

信息來源： ThreatFabric

正如報(bào)告中提到，最重要的插件之一是位置模塊插件，它負(fù)責(zé)位置跟蹤，可以發(fā)送當(dāng)前位置的快照，也可以設(shè)置指定時間間隔的位置跟蹤。這個插件基于兩個位置跟蹤框架：騰訊位置SDK和百度位置SDK。

另一個重要的插件是Soundrecord（錄音）插件，它負(fù)責(zé)錄制音頻。這個插件還可以立即或在指定的時間間隔開始麥克風(fēng)錄音。此外，這個插件還可以記錄來電通話內(nèi)容。

Bill（賬單）插件是另一個重要的插件，它負(fù)責(zé)從微信支付收集受害者的支付歷史信息，這包括上一筆賬單的ID、賬單類型、交易ID、日期以及已支付處理的標(biāo)志。

iOS命令和安卓命令之間的關(guān)系（來源：ThreatFabric）

基礎(chǔ)設(shè)施

LightSpy基礎(chǔ)設(shè)施包含幾十個服務(wù)器，分布在中國大陸、中國香港、中國臺灣、新加坡和俄羅斯，由于一些服務(wù)器返回不同的命令和載荷，可以推測攻擊者為每次活動使用不同的IP地址或域。與此同時，由于一些服務(wù)器返回載荷（應(yīng)該是在2018年編譯的），可以假設(shè)攻擊者可以在幾個攻擊活動中重復(fù)使用同一套基礎(chǔ)設(shè)施。另一個關(guān)于長壽命服務(wù)器的假設(shè)是，安全行業(yè)人士常常不會發(fā)現(xiàn)/披露這些服務(wù)器，因此不需要更改IP地址。

在分析LightSpy基礎(chǔ)設(shè)施時，我們發(fā)現(xiàn)了兩個值得注意的時刻：

LightSpy與AndroidControl（WyrmSpy）的聯(lián)系

我們獲取了硬編碼到核心中的IP地址，與Lookout報(bào)告中披露的IP地址是同一個。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

結(jié)果是35900端口已關(guān)閉，主機(jī)沒有響應(yīng)LightSpy請求。同時，有幾個開放的端口提供https服務(wù)。

端口11090對應(yīng)的https服務(wù)器使用過期證書加以保護(hù)，SHA256指紋為f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824，還有另外兩臺主機(jī)使用相同的服務(wù)和相同的證書。兩臺主機(jī)都打開了端口443，服務(wù)于一個名為AndroidControl v1.0.4的管理面板。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

有第三臺主機(jī)具有相同的收藏夾圖標(biāo)（MD5散列542974b44d9c9797bcbc9d9218d9aee5），它托管相同的面板。這個主機(jī)上的面板錯誤配置，暴露了應(yīng)該用于前后端之間通信的后端端點(diǎn)：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

第一個值得關(guān)注的點(diǎn)是“控制”端點(diǎn)，這種端點(diǎn)位于Lookout報(bào)告的WyrmSpy樣本中。

為了確認(rèn)這三個主機(jī)與WyrmSpy有關(guān)，我們做了一個簡單的請求雙“控制”端點(diǎn)，看到了相同的結(jié)果：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

在WyrmSpy的代碼中，我們可以看到它等待對含有字段“suc”的請求進(jìn)行響應(yīng)：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

因此，這三個主機(jī)都是WyrmSpy的活躍C2，或者正如攻擊者所命名的AndroidControl或androidRat。

由于面板在處于調(diào)試模式的Django中，它暴露了一些內(nèi)部信息，比如一個內(nèi)部文件夾（整個前端和后端文件存儲在服務(wù)器中），以及另一個IP地址47.115.7[.]112：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

LightSpy面板

其中一臺C2服務(wù)53601端口，該服務(wù)含有Admin面板：

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

面板在VUEJS中，除了面板結(jié)構(gòu)外，我們在底層沒有發(fā)現(xiàn)任何值得注意的痕跡。VUEJS節(jié)點(diǎn)的功能仍然不清楚。

LightSpy APT攻擊微信用戶，竊取支付數(shù)據(jù)

一篇關(guān)于LightSpy的完整報(bào)告已經(jīng)由ThreatFabric發(fā)布（詳見https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack），提供了有關(guān)威脅途徑、源代碼、分析及其他信息的詳細(xì)信息。

攻陷指標(biāo)

控制服務(wù)器：

域

spaceskd[.]com

IP

103.27.108[.]207

46.17.43[.]74

文件哈希：

第二階段載荷（smallmload .jar）

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c 

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

插件

文章翻譯自：https://gbhackers.com/lightspy-apt-attacking-wechat-users/如若轉(zhuǎn)載，請注明原文地址