针对香港iOS用户进行水坑攻击的LightSpy恶意软件，近日被发现嵌入在来自20台活跃服务器的安卓植入体Core（核心）及其14个相关插件当中，用于攻击移动用户。

LightSpy是一种移动高级持续性威胁（mAPT），它使用新颖的复杂技术来攻击移动用户。其中，这个恶意软件已被证实出自黑客组织APT41之手。

最近的报告表明，该恶意软件一直在使用微信支付系统访问支付数据、监控私密通信，并执行各种恶意活动。

LightSpy APT攻击微信用户

据多起报告显示，LightSpy恶意软件是一套功能齐全的模块化监视工具集，被发现使用各种插件来泄露并窃取私密数据和支付数据。此外，该恶意软件强烈关注受害者的私密信息。

其功能包括：利用后端基础设施从微信支付中泄露支付数据，并从微信获取音频相关功能，以记录受害者的VOIP对话内容。

然而，该恶意软件不能作为一个独立的应用程序来运行，因为它也是一个插件，该恶意软件的核心负责执行整条攻击链所需的所有功能。

核心功能包括设备指纹收集、控制服务器连接建立、从服务器检索命令以及更新自身和额外的攻击载荷文件（又叫作插件）。

LightSpy的14个插件

该恶意软件已添加了多个插件，包括soft list（软列表）、baseinfo（基础信息）、bill（账单）、cameramodule（摄像头模块）、chatfile（聊天文件）、filemanager（文件管理器）、locationmodule（位置模块）、locationBaidu（位置百度）、qq、shell、soundrecord（录音）、telegram、wechat（微信）和wifi。

信息来源： ThreatFabric

正如报告中提到，最重要的插件之一是位置模块插件，它负责位置跟踪，可以发送当前位置的快照，也可以设置指定时间间隔的位置跟踪。这个插件基于两个位置跟踪框架：腾讯位置SDK和百度位置SDK。

另一个重要的插件是Soundrecord（录音）插件，它负责录制音频。这个插件还可以立即或在指定的时间间隔开始麦克风录音。此外，这个插件还可以记录来电通话内容。

Bill（账单）插件是另一个重要的插件，它负责从微信支付收集受害者的支付历史信息，这包括上一笔账单的ID、账单类型、交易ID、日期以及已支付处理的标志。

iOS命令和安卓命令之间的关系（来源：ThreatFabric）

基础设施

LightSpy基础设施包含几十个服务器，分布在中国大陆、中国香港、中国台湾、新加坡和俄罗斯，由于一些服务器返回不同的命令和载荷，可以推测攻击者为每次活动使用不同的IP地址或域。与此同时，由于一些服务器返回载荷（应该是在2018年编译的），可以假设攻击者可以在几个攻击活动中重复使用同一套基础设施。另一个关于长寿命服务器的假设是，安全行业人士常常不会发现/披露这些服务器，因此不需要更改IP地址。

在分析LightSpy基础设施时，我们发现了两个值得注意的时刻：

LightSpy与AndroidControl（WyrmSpy）的联系

我们获取了硬编码到核心中的IP地址，与Lookout报告中披露的IP地址是同一个。

图1

结果是35900端口已关闭，主机没有响应LightSpy请求。同时，有几个开放的端口提供https服务。

端口11090对应的https服务器使用过期证书加以保护，SHA256指纹为f0fc2c418e012e034a170964c0d68fee2c0efe424a90b0f4c4cd5e13d1e36824，还有另外两台主机使用相同的服务和相同的证书。两台主机都打开了端口443，服务于一个名为AndroidControl v1.0.4的管理面板。

图2

有第三台主机具有相同的收藏夹图标（MD5散列542974b44d9c9797bcbc9d9218d9aee5），它托管相同的面板。这个主机上的面板错误配置，暴露了应该用于前后端之间通信的后端端点：

图3

第一个值得关注的点是“控制”端点，这种端点位于Lookout报告的WyrmSpy样本中。

为了确认这三个主机与WyrmSpy有关，我们做了一个简单的请求双“控制”端点，看到了相同的结果：

图4

在WyrmSpy的代码中，我们可以看到它等待对含有字段“suc”的请求进行响应：

图5

因此，这三个主机都是WyrmSpy的活跃C2，或者正如攻击者所命名的AndroidControl或androidRat。

由于面板在处于调试模式的Django中，它暴露了一些内部信息，比如一个内部文件夹（整个前端和后端文件存储在服务器中），以及另一个IP地址47.115.7[.]112：

图6

LightSpy面板

其中一台C2服务53601端口，该服务含有Admin面板：

图7

面板在VUEJS中，除了面板结构外，我们在底层没有发现任何值得注意的痕迹。VUEJS节点的功能仍然不清楚。

图8

一篇关于LightSpy的完整报告已经由ThreatFabric发布（详见），提供了有关威胁途径、源代码、分析及其他信息的详细信息。

攻陷指标

控制服务器：

域

spaceskd[.]com

IP

103.27.108[.]207

46.17.43[.]74

文件哈希：

第二阶段载荷（smallmload .jar）

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

SHA256

版本

68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541

6.5.24

5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00

6.5.24

bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc

6.5.25

9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd

6.2.1

a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3

6.5.19

77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b

6.2.0

d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e

6.2.1

3849adc161d699edaca161d5b6335dfb7e5005056679907618d5e74b9f78792f

6.2.6

2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4

5.2.1

插件

插件名称

SHA256

softlist

7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112

baseinfo

cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89

bill

c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6

cameramodule

bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325

chatfile

7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b

filemanager

e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546

locationmodule

bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04

locationBaidu

177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1

qq

f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5

shell

e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be

soundrecord

c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e

telegram

71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486

wechat

bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1

wifi

446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11

翻译自：