最近发现的水坑攻击已针对香港的iOS用户。该活动使用在多个论坛上发布的链接,这些链接可能导致各种新闻报道。这些链接将用户引导到实际的新闻站点时,他们还使用隐藏的iframe加载和执行恶意代码。恶意代码包含针对iOS 12.1和12.2中存在的漏洞的攻击。使用高风险设备单击这些链接的用户将下载一个新的iOS恶意软件变体,我们将其称为lightSpy (检测为IOS_LightSpy.A)。
恶意软件变体是模块化后门,它允许威胁执行者远程执行外壳命令并操纵受影响设备上的文件。这将使攻击者可以监视用户的设备并对其进行完全控制。它包含用于从受感染设备中窃取数据的不同模块,其中包括:
- 连接的WiFi历史记录
- 联络人
- GPS定位
- 硬体资讯
- iOS钥匙串
- 电话记录
- Safari和Chrome浏览器历史记录
- 短信
还从目标设备中窃取了有关用户网络环境的信息:
Messenger应用程序还专门用于数据渗透。专门针对的应用程序包括:
我们的研究还发现了在2019年针对Android设备的类似活动。在各种公共的香港相关电报频道中发现了指向恶意.APK文件的链接。这些消息声称它们适用于各种合法应用程序,但是它们导致了恶意应用程序,它们可能泄露设备信息,联系人和SMS消息。我们将此Android恶意软件家族称为dmsSpy(dmsSpy的变体检测为AndroidOS_dmsSpy.A。)。
行动的设计和功能表明,该活动并非针对受害者,而是旨在针对设备后门和监视而尽可能多地破坏移动设备。我们根据其分发方式将广告活动命名为“中毒新闻行动”。
这篇博客文章提供了lightSpy和dmsSpy的功能及其分发方法的高级概述。相关的技术简介中包含了更多技术细节,包括危害指标(IoC)。
发行:中毒新闻和水坑
2月19日,我们发现了针对iOS用户的水坑攻击。所使用的URL导致了由攻击者创建的恶意网站,该网站进而包含指向不同站点的三个iframe。唯一可见的iframe指向合法的新闻网站,这使人们认为他们正在访问该网站。一个不可见的iframe用于网站分析;另一个导致了一个网站,该网站托管着iOS漏洞利用程序的主要脚本。以下屏幕截图显示了这三个iframe的代码:
图1.带有三个iframe的恶意网站的HTML代码
这些恶意网站的链接被发布在四个不同的论坛上,众所周知都受到香港居民的欢迎。这些论坛还为用户提供了应用程序,以便其读者可以在移动设备上轻松访问该应用程序。中毒新闻在上述论坛的一般讨论部分中发布了其链接。该帖子将包括给定新闻报道的标题,任何附带的图像以及指向新闻站点的(虚假)链接。
这些文章是由新注册的帐户在相关论坛上发布的,这使我们相信,这些帖子不是由用户重新共享他们认为合法的链接而发布的。用作诱剂的主题是与性别相关的,诱饵式的头条新闻,或与COVID-19疾病相关的新闻。我们不认为这些主题专门针对任何用户。相反,他们以整个网站的用户为目标。
图2.该活动发布的新闻主题列表
图3.论坛帖子以及指向恶意网站的链接
除了上述技术外,我们还看到了第二种水坑网站。在这些情况下,将复制合法站点并注入恶意iframe。我们的遥测表明,从1月2日开始在香港分配与此类水坑的链接。但是,我们不知道这些链接在哪里分配。
图4.具有iframe和恶意利用的复制新闻页面
这些袭击一直持续到3月20日,据称论坛帖子与香港抗议活动时间表有关。该链接将转而导致与早期病例相同的感染链。
图5.链接到声称是时间表的恶意站点
感染链
此攻击中使用的漏洞利用会影响iOS 12.1和12.2。它针对各种iPhone机型,从iPhone 6S到iPhone X,如以下代码段所示:
图6.目标设备的代码检查
完整的漏洞利用链涉及一个无声补丁的Safari错误(可在多个最新的iOS版本上运行)和自定义的内核漏洞。Safari浏览器提供漏洞利用后,它会针对一个bug(Apple在新的iOS版本中默默地修补了该漏洞),从而导致利用已知的内核漏洞来获取root特权。内核错误已连接到 CVE-2019-8605。尽管其他研究人员提到了与该特定问题相关的失败补丁的历史记录,但默默地修补的Safari bug没有相关的CVE 。
一旦设备受到威胁,攻击者就会安装无证的复杂间谍软件,以维护对设备的控制并泄露信息。间谍软件使用具有多种功能的模块化设计,其中包括:
- 模块更新
- 每个模块的远程命令分配
- 完整的Shell命令模块
该间谍软件的许多模块都是专门为数据渗透而设计的。例如,都包含从电报和微信中窃取信息的模块。下图显示了感染链及其使用的各种模块。
图7. lightSpy的感染链图
我们选择为这个新威胁命名为 lightSpy,其名称来自模块管理器 light。我们还注意到,launchctl 模块使用的解码后的配置文件 包括指向/ androidmm / light 位置的URL ,这表明也存在此威胁的Android版本。
还有一点需要注意:有效载荷文件 dylib 是使用合法的Apple开发人员证书签名的,直到2019年11月29日才签署。这为该活动的开始确定了时间戳。
lightSpy的恶意行为概述
博客文章的这一部分简要概述了lightSpy及其相关的有效负载(空间限制限制了我们可以提供的详细信息)。但是,我们在技术简介中提供了更多技术细节。
触发内核利用后,payload.dylib继续下载多个模块,如以下代码所示:
图8.下载的模块
其中一些模块与启动和加载相关。例如, launchctl 是用于加载或卸载守护程序/代理的工具,它使用ircbin.plist 作为参数来执行此操作 。该守护程序依次执行 irc_loader,但是(顾名思义)它只是主要恶意软件模块light的加载器 。但是,它确实包含C&C服务器的硬编码位置。
该 光 模块作为用于恶意软件的主控制,并能够加载和更新的其他模块。其余模块旨在提取和提取不同类型的数据,如下表所示:
- dylib –获取并上传基本信息,例如iPhone硬件信息,联系人,短信和通话记录
- ShellCommandaaa –在受影响的设备上执行Shell命令;任何结果都会序列化并上传到指定的服务器
- KeyChain –窃取并上传Apple KeyChain中包含的信息
- Screenaaa –在与受影响的设备相同的网络子网上扫描并ping设备;ping的结果上传到攻击者
- SoftInfoaaa –获取设备上的应用程序和进程的列表
- FileManage –在设备上执行文件系统操作
- WifiList –获取保存的Wi-Fi信息(保存的网络,历史记录等)。
- 浏览器–从Chrome和Safari获取浏览器历史记录。
- Locationaaa –获取用户的位置。
- ios_wechat –获取与微信相关的信息,包括:帐户信息,联系人,组,消息和文件。
- ios_qq –与ios_wechat模块类似 ,但适用于QQ。
- ios_telegram –与前两个模块相似,但适用于Telegram。
综上所述,这种威胁使威胁者能够彻底破坏受影响的设备并获取用户认为机密信息的大部分内容。这里特别针对了一些在香港市场上流行的聊天应用程序,表明这些是威胁者的目标。
dmsSpy概述
如本博文前面所述,lightSpy有一个Android对应版本,我们称为 dmsSpy。 这些变体已在2019年伪装成各种应用程序的公共电报频道中分发。尽管在我们的研究中这些链接已经无效,但我们能够获得其中一个变体的样本。
我们的样本被广告发布为日历应用程序,其中包含香港的抗议时间表。它包含许多我们经常在恶意应用程序中看到的功能,例如请求敏感权限以及将敏感信息传输到C&C服务器。这包括看似安全的信息(例如所使用的设备型号),但包括更敏感的信息(例如联系人,文本消息,用户的位置以及存储的文件的名称)。dmsSpy还注册了一个接收器,用于读取新接收到的SMS消息以及拨打USSD代码。
我们能够获得有关dmsSpy的更多信息,因为它背后的威胁参与者错误地将其Web框架的调试模式激活了。这使我们可以窥视服务器使用的API。它暗示了我们在示例中未看到的其他功能,包括屏幕截图以及将APK文件安装到设备上的功能。
图9.从Web框架泄漏的API列表
我们认为这些攻击是相关的。dmsSpy的下载和命令与控制服务器使用的域名(hkrevolution [。] club)与Poisoned News的iOS组件使用的注水孔之一相同。(但是,它们确实使用了不同的子域)。因此,我们认为此特定的Android威胁由同一组威胁参与者进行操作,并与中毒新闻相关。
供应商声明
我们联系了此博客文章中提到的各种供应商。腾讯这样说:
趋势科技的这份报告很好地提醒了为什么使计算机和移动设备上的操作系统保持最新很重要。该报告中记录的漏洞已影响到iOS 12.1和12.2中的Safari Web浏览器,并且已在随后的iOS更新中修复。
我们的微信和QQ用户中,只有极少数仍在运行包含该漏洞的旧版iOS。我们已经提醒这些用户尽快将其设备更新到最新版本的iOS。
腾讯非常重视数据安全,并将继续努力确保我们的产品和服务建立在旨在确保用户数据安全的强大安全平台上。
苹果还通过趋势科技的零日活动(ZDI)通知了这项研究。我们还与Telegram联系了我们的发现,但在发布时尚未收到任何回复。
最佳做法和解决方案
用户本可以采取几个步骤来减轻这种威胁。对于iOS用户,最重要的是保持其iOS版本更新。可以解决此问题的更新已经发布了一年多,这意味着将设备保持在最新更新状态的用户可以免受此威胁利用的漏洞的影响。
对于Android用户,我们获得的样本是通过Google Play商店外部的Telegram频道中的链接分发的。我们强烈建议用户避免从外部受信任的应用程序商店安装应用程序,因为以这种方式分发的应用程序经常载有恶意代码。
未经允许不得转载:x-sec » 中毒行动新闻:通过本地新闻链接将香港恶意软件定位为香港用户