LightSpy (DragonEgg) Implant IOCs - Part 2

security IOC
Опубликовано

Программа-шпион LightSpy снова появилась на арене, нацеливаясь на людей в Южной Азии. Она имеет модульную структуру и широкий спектр возможностей, включая кражу файлов, запись аудио, сбор данных, доступ к системе и другие. Комментарии в коде и сообщения об ошибках указывают на возможное китайское происхождение LightSpy, вызывая опасения о государственном спонсировании. LightSpy использует "пиннинг" сертификатов для предотвращения обнаружения и позволяет устанавливать соединение с сервером C2 в условиях анализа трафика.

Появление LightSpy свидетельствует о сохраняющейся угрозе шпионажа через сложные программы-шпионы для мобильных устройств. Несмотря на то, что атаки обычно направлены на небольшое число людей, этот вид шпионажа представляет глобальную угрозу. Кампания LightSpy вызывает опасения из-за нацеливания на Южную Азию и предполагаемого китайского происхождения.

  • LightSpy вернулся: После нескольких месяцев любопытного бездействия продвинутая программа-шпион для мобильных устройств появилась вновь, нацелившись на людей в Южной Азии.
  • Расширенные возможности: Последняя итерация LightSpy, получившая название "F_Warehouse", может похвастаться модульной структурой и широкими возможностями шпионажа, включая:
    • Кража файлов: LightSpy способен похищать файлы из различных популярных приложений, таких как Telegram, QQ, WeChat, а также нацеливаться на личные документы и медиафайлы.
    • Запись аудио: LightSpy может тайно записывать аудио с зараженного устройства.
    • Сбор данных: LightSpy может собирать и передавать историю браузера, списки подключений к WiFi, данные об установленных приложениях и даже фотографии с камеры устройства.
    • Доступ к системе: LightSpy может получать данные о цепочке ключей пользователя и списки устройств, а также выполнять команды оболочки для потенциального полного контроля над устройством.
  • Китайское происхождение: Комментарии к коду и сообщения об ошибках наводят на мысль, что за LightSpy стоят Китайские разработчики, что вызывает опасения о возможной деятельности, спонсируемой государством.
  • Передовые методы: В LightSpy используется "пиннинг" сертификатов для предотвращения обнаружения и перехвата связи с командно-контрольным (C2) сервером. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 не будет установлено.

Indicators of Compromise

URLs

  • http://103.27.109.217:52202/963852741/mac/C40F0D27
  • http://103.27.109.217:52202/963852741/mac/macversion.json
  • http://103.27.109.217:52202/963852741/mac/plugins/0408ece5a667ec06
  • http://103.27.109.217:52202/963852741/mac/plugins/0c377d6b6b074d16
  • http://103.27.109.217:52202/963852741/mac/plugins/26f7d6b449f01571
  • http://103.27.109.217:52202/963852741/mac/plugins/2e351c7b4de4d3b1
  • http://103.27.109.217:52202/963852741/mac/plugins/484c8be6af1675b7
  • http://103.27.109.217:52202/963852741/mac/plugins/4d29ee714380cd29
  • http://103.27.109.217:52202/963852741/mac/plugins/6a0e40740cb52a1c
  • http://103.27.109.217:52202/963852741/mac/plugins/70a5ecc118536683
  • http://103.27.109.217:52202/963852741/mac/plugins/7e3211e5a00d2783
  • http://103.27.109.217:52202/963852741/mac/plugins/f99fcea4aba03364

MD5

  • 2178d673779605ffb9cf7f2fa3ec8e97
  • 32076ae7b19f2669fd7c36e48425acd6
  • 480da467b4687549b38eeea4d4ced293
  • 54570441e91d8e65ea81bb265ba71c8c
  • 564235b40d78f9c763b5022954ee9aae
  • 59ac7dd41dca19a25a78a242e93a7ded
  • 6371a942334444029f73b2faa2b76cf6
  • a2fee8cfdabe4fdeeeb8faa921a3d158
  • cad4de220316eebc9980fab812b9ed43
  • ef92e192d09269628e65145070a01f97
  • f162b87ad9466381711ebb4fe3337815

SHA256

  • 0f662991dbd0568fc073b592f46e60b081eedf0c18313f2c3789e8e3f7cb8144
  • 0f66a4daba647486d2c9d838592cba298df2dbf38f2008b6571af8a562bc306c
  • 18bad57109ac9be968280ea27ae3112858e8bc18c3aec02565f4c199a7295f3a
  • 3d6ef4d88d3d132b1e479cf211c9f8422997bfcaa72e55e9cc5d985fd2939e6d
  • 4511567b33915a4c8972ef16e5d7de89de5c6dffe18231528a1d93bfc9acc59f
  • 4b973335755bd8d48f34081b6d1bea9ed18ac1f68879d4b0a9211bbab8fa5ff4
  • 5fb67d42575151dd2a04d7dda7bd9331651c270d0f4426acd422b26a711156b5
  • 65aa91d8ae68e64607652cad89dab3273cf5cd3551c2c1fda2a7b90aed2b3883
  • ac6d34f09fcac49c203e860da00bbbe97290d5466295ab0650265be242d692a6
  • d2ccbf41552299b24f186f905c846fb20b9f76ed94773677703f75189b838f63
  • fc7e77a56772d5ff644da143718ee7dbaf7a1da37cceb446580cd5efb96a9835

Похожие записи:

  1. LightSpy (DragonEgg) implant IOCs
  2. Melofee (Mélofée) Implant IOCs
  3. ShroudedSnooper APT IOCs
  4. NSPX30 Implant IOCs
  5. AllaKore RAT IOCs
BlackBerry Research Implant LightSpy
Добавить комментарий