针对香港iOS用户进行水坑攻击的LightSpy恶意软件,近日被发现嵌入在来自20台活跃服务器的安卓植入体Core(核心)及其14个相关插件当中,用于攻击移动用户。
LightSpy是一种移动高级持续性威胁(mAPT),它使用新颖的复杂技术来攻击移动用户。其中,这个恶意软件已被证实出自黑客组织APT41之手。
最近的报告表明,该恶意软件一直在使用微信支付系统访问支付数据、监控私密通信,并执行各种恶意活动。
LightSpy APT攻击微信用户
据多起报告显示,LightSpy恶意软件是一套功能齐全的模块化监视工具集,被发现使用各种插件来泄露并窃取私密数据和支付数据。此外,该恶意软件强烈关注受害者的私密信息。
其功能包括:利用后端基础设施从微信支付中泄露支付数据,并从微信获取音频相关功能,以记录受害者的VOIP对话内容。
然而,该恶意软件不能作为一个独立的应用程序来运行,因为它也是一个插件,该恶意软件的核心负责执行整条攻击链所需的所有功能。
核心功能包括设备指纹收集、控制服务器连接建立、从服务器检索命令以及更新自身和额外的攻击载荷文件(又叫作插件)。
LightSpy的14个插件
该恶意软件已添加了多个插件,包括soft list(软列表)、baseinfo(基础信息)、bill(账单)、cameramodule(摄像头模块)、chatfile(聊天文件)、filemanager(文件管理器)、locationmodule(位置模块)、locationBaidu(位置百度)、qq、shell、soundrecord(录音)、telegram、wechat(微信)和wifi。
信息来源:ThreatFabric
正如报告中提到,最重要的插件之一是位置模块插件,它负责位置跟踪,可以发送当前位置的快照,也可以设置指定时间间隔的位置跟踪。这个插件基于两个位置跟踪框架:腾讯位置SDK和百度位置SDK。
另一个重要的插件是Soundrecord(录音)插件,它负责录制音频。这个插件还可以立即或在指定的时间间隔开始麦克风录音。此外,这个插件还可以记录来电通话内容。
Bill(账单)插件是另一个重要的插件,它负责从微信支付收集受害者的支付历史信息,这包括上一笔账单的ID、账单类型、交易ID、日期以及已支付处理的标志。
iOS命令和安卓命令之间的关系(来源:ThreatFabric)
基础设施
LightSpy基础设施包含几十个服务器,分布在中国大陆、中国香港、中国台湾、新加坡和俄罗斯,由于一些服务器返回不同的命令和载荷,可以推测攻击者为每次活动使用不同的IP地址或域。与此同时,由于一些服务器返回载荷(应该是在2018年编译的),可以假设攻击者可以在几个攻击活动中重复使用同一套基础设施。另一个关于长寿命服务器的假设是,安全行业人士常常不会发现/披露这些服务器,因此不需要更改IP地址。
在分析LightSpy基础设施时,我们发现了两个值得注意的时刻:
LightSpy与AndroidControl(WyrmSpy)的联系
我们获取了硬编码到核心中的IP地址,与Lookout报告中披露的IP地址是同一个。
图1
结果是35900端口已关闭,主机没有响应LightSpy请求。同时,有几个开放的端口提供https服务。
端口11090对应的https服务器使用过期证书加以保护,SHA256指纹为f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824,还有另外两台主机使用相同的服务和相同的证书。两台主机都打开了端口443,服务于一个名为AndroidControl v1.0.4的管理面板。
图2
有第三台主机具有相同的收藏夹图标(MD5散列542974b44d9c9797bcbc9d9218d9aee5),它托管相同的面板。这个主机上的面板错误配置,暴露了应该用于前后端之间通信的后端端点:
图3
第一个值得关注的点是“控制”端点,这种端点位于Lookout报告的WyrmSpy样本中。
为了确认这三个主机与WyrmSpy有关,我们做了一个简单的请求双“控制”端点,看到了相同的结果:
图4
在WyrmSpy的代码中,我们可以看到它等待对含有字段“suc”的请求进行响应:
图5
因此,这三个主机都是WyrmSpy的活跃C2,或者正如攻击者所命名的AndroidControl或androidRat。
由于面板在处于调试模式的Django中,它暴露了一些内部信息,比如一个内部文件夹(整个前端和后端文件存储在服务器中),以及另一个IP地址47.115.7[.]112:
图6
LightSpy面板
其中一台C2服务53601端口,该服务含有Admin面板:
图7
面板在VUEJS中,除了面板结构外,我们在底层没有发现任何值得注意的痕迹。VUEJS节点的功能仍然不清楚。
图8
一篇关于LightSpy的完整报告已经由ThreatFabric发布(详见https://www.threatfabric.com/blogs/lightspy-mapt-mobile-payment-system-attack),提供了有关威胁途径、源代码、分析及其他信息的详细信息。
攻陷指标
控制服务器:
域
spaceskd[.]com
IP
103.27.108[.]207
46.17.43[.]74
文件哈希:
第二阶段载荷(smallmload .jar)
SHA256
407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c
bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99
核心
插件
参考及来源:https://gbhackers.com/lightspy-apt-attacking-wechat-users/
原文始发于微信公众号(嘶吼专业版):LightSpy APT攻击微信用户,窃取支付数据