2020年1月10日研究人员发现名为LightSpy的恶意软件,攻击网站页面内容是针对香港用户设计的, 研究人员暂时命名该APT组织“TwoSail Junk”。本文详细分析了攻击活动的传播途径、利用方式、基础设施和LightSpy恶意软件。
在2020年2月7日研发人员对组件进行了重大修改,2020年3月5日对一些组件进行了轻微修改。
2020年1月10日发布的WebKit漏洞的第一个PoC非常相似,第二个版本注释删除许多日志语句,将alert改为print语句,还引入了错误提示。通过分析第一阶段攻击中的更改,发现支持的设备列表显著扩展:
攻击者正在积极地修改组件,本报告末尾IoC提供了完整的历史哈希表。组件中有许多小的变化,并没有直接影响到每个组件的功能,但也有例外:
“EnvironmentalRecording”插件(MD5:ae439a31b8c5487840f9ad530c5db391),它是一个动态链接库,负责记录环境音频和电话。2020年2月7日发现新的二进制文件(MD5:f70d6b3b44d855c2fb7c662c534d1d5)。此文件不包含任何环境路径、版本戳等,它的唯一目的是清除位于“/var/iolight/”、“/bin/light/”和“/bin/irc_loader/”中的所有文件,清除植入组件。
另一个是“Screenaaa”插件。2020年1月10日部署的第一个版本(MD5:35fd8a6eac382bfc95071d56d4086945)用于捕获屏幕快照、创建目录并以JPEG格式保存捕获的文件。2月7日同名插件(MD5:7b69a20920d3b0e6e6f0bffeefdce7aa6c)具有完全不同的功能。扫描网络显示可用的设备及其MAC地址、主机名和制造商。这个插件可能是被错误地捆绑在2月7日的有效负载中。
在观察到的活动中,攻击者通过社交网络平台私信传播,对个人目标进行了精确定位。其感染传播链如下:
最初网站‘ hxxps://appledaily.googlephoto[.]vip/news[.]html ’被设计成模仿香港报纸“苹果日报”,复制粘贴原始HTML内容:
从2020年2月18日开始看到大规模的攻击活动。
2月18日开始攻击者将潜在的受害者从诱饵网站重定向到漏洞利用网站和合法新闻网站。
初始水坑页面域(googlephoto [.] vip)于2019年9月24日通过GoDaddy注册。子网域(appledaily.googlephoto [.] vip)于2020年1月10日解析为(103.19.9 [.] 185)。 该服务器位于新加坡。服务器正在侦听端口80(HTTP)和3389(启用SSL / TLS的RDP)。 Shodan数据检测到当前登录的用户名为“ SeinandColt”。
攻击者通过管理界面对IOS payload进行管理,ip为45.134.1[.]180,端口为50001:
从网页配置中发现其语言有英文和中文,可以粗略的分析其基础架构:
仔细查看index.js文件,则会看到用户配置,应用程序列表,日志列表和其他设置。“userConfig”内容如下:
设置还包括已注释掉的“ app_list”变量,列出了两个常见应用程序(QQ和秒拍):
分析攻击活动基础架构时,还发现了一个Android恶意软件链接:hxxp://app.hkrevolution[.]club/HKcalander[.]apk (MD5: 77ebb4207835c4f5c4d5dfe8ac4c764d)。
该链接通过Telegram频道“winuxhk”和“brothersisterfacebookclub”进行传播,Instagram帖子是在2019年11月下旬发布的。对APK的进一步技术分析显示时间戳:2019-11-04 18:12:33,其代码包含到另一个相关域的链接:
对该服务器检查后发现其他相关apk:
最新APK在xxinc-media[.]oss-cn-shenzhen.aliyuncs[.]com,攻击者正在将iOS和Android划分到不同的基础架构中。
目前还没有发现该URL在野传播迹象。
9b248d91d2e1d1b9cd45eb28d8adff71 (Jan 10, 2020)
4fe3ca4a2526088721c5bdf96ae636f4 (Feb 7, 2020)
e48c1c6fb1aa6c3ff6720e336c62b278 (Jan 10, 2020)
53acd56ca69a04e13e32f7787a021bb5 (Jan 10, 2020)
184fbbdb8111d76d3b1377b2768599c9 (Jan 10, 2020)
bfa6bc2cf28065cfea711154a3204483 (Feb 7, 2020)
ff0f66b7089e06702ffaae6025b227f0 (Mar 5, 2020)
a981a42fb740d05346d1b32ce3d2fd53 (Jan 10, 2020)
5c69082bd522f91955a6274ba0cf10b2 (Feb 7, 2020)
7b263f1649dd56994a3da03799611950 (Jan 10, 2020)
ae439a31b8c5487840f9ad530c5db391 (Jan 10, 2020)
f70d6b3b44d855c2fb7c662c5334d1d5 (Feb 7, 2020)
f1c899e7dd1f721265cc3e3b172c7e90 (Jan 10, 2020)
ea9295d8409ea0f1d894d99fe302070e (Feb 7, 2020)
c450e53a122c899ba451838ee5250ea5 (Jan 10, 2020)
f761560ace765913695ffc04dfb36ca7 (Feb 7, 2020)
1e12e9756b344293352c112ba84533ea (Jan 10, 2020)
5e295307e4429353e78e70c9a0529d7d (Feb 7, 2020)
187a4c343ff4eebd8a3382317cfe5a95 (Jan 10, 2020)
66d2379318ce8f74cfbd0fb26afc2084 (Feb 7, 2020)
db202531c6439012c681328c3f8df60c (Jan 10, 2020)
3e7094eec0e99b17c5c531d16450cfda (Jan 10, 2020)
06ff47c8108f7557bb8f195d7b910882 (Feb 7, 2020)
35fd8a6eac382bfc95071d56d4086945 (Jan 10, 2020)
7b69a20920d3b0e6f0bffeefdce7aa6c (Feb 7, 2020)
a8b0c99f20a303ee410e460730959d4e (Jan 10, 2020)
8cdf29e9c6cca6bf8f02690d8c733c7b (Jan 10, 2020)
c400d41dd1d3aaca651734d4d565997c (Jan 10, 2020)
77ebb4207835c4f5c4d5dfe8ac4c764d
fadff5b601f6fca588007660934129eb
5d2b65790b305c186ef7590e5a1f2d6b
Past similar SpringDragon evora
1126f8af2249406820c78626a64d12bb
33782e5ba9067b38d42f7ecb8f2acdc8
45.134.1[.]180 (iOS)
45.134.0[.]123 (Android)
app.poorgoddaay[.]com (Android)
svr[.]hkrevolution[.]club (Android)
45.83.237[.]13
messager[.]cloud
appledaily.googlephoto[.]vip
www[.]googlephoto[.]vip
news2.hkrevolution[.]club
news.hkrevolution[.]club
www[.]facebooktoday[.]cc
www[.]hkrevolt[.]com
news.hkrevolt[.]com
movie.poorgoddaay[.]com
xxinc-media[.]oss-cn-shenzhen.aliyuncs[.]com
app.hkrevolution[.]club
news.poorgoddaay[.]com
zg.poorgoddaay[.]com
ns1.poorgoddaay[.]com
change_config exe_cmd stop_cmd get_phoneinfo get_contacts get_call_history get_sms delete_sms send_sms get_wechat_account get_wechat_contacts get_wechat_group get_wechat_msg get_wechat_file get_location get_location_coninuing get_browser_history get_dir upload_file download_file delete_file get_picture get_video get_audio create_dir rename_file move_file copy_file get_app get_process get_wifi_history get_wifi_nearby call_record call_photo get_qq_account get_qq_contacts get_qq_group get_qq_msg get_qq_file get_keychain screenshot
*参考来源: securelist ,由Kriston编译,转载请注明来自FreeBuf.COM