Исследование обнаружило, что модульная система наблюдения LightSpy, известная с 2020 года, способна компрометировать различные платформы, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы. LightSpy использует методы атаки через уязвимости и эксплойты, а также часто меняет свою инфраструктуру для избежания обнаружения.
LightSpy (DragonEgg) Implant
В исследовании было обнаружено восемь активных IP-адресов, связанных с инфраструктурой LightSpy. Эти адреса были связаны с предыдущими исследованиями других компаний и использовались для проведения целевых атак на базы данных приложений Facebook и Instagram. Анализ новых списков команд показал, что LightSpy стал нацеливаться на файлы баз данных Facebook и Instagram, расширяя свои возможности сбора данных и контроля на разных платформах.
Однако без доступа к имплантам первой стадии LightSpy, исследователям не удалось полностью восстановить функциональности этих имплантов. Они обнаружили, что сервер 149.104.18[.]80, связанный с LightSpy, имеет открытые порты 80, 443, 10000, 30000 и 40002, и содержит несколько файлов, доступных для загрузки. Кроме того, было обнаружено, что новые списки команд LightSpy включают функциональности для сбора данных с платформ обмена сообщениями, а также социальных платформ Facebook и Instagram.
Расширение возможностей LightSpy, включая нацеливание на файлы баз данных Facebook и Instagram, демонстрирует его способность собирать личные данные, сообщения и метаданные пользователей. Это дает злоумышленникам возможность слежки и потенциального злоупотребления этими данными.
Indicators of Compromise
IPv4
- 103.238.227.138
- 149.104.18.251
- 149.104.18.80
- 43.248.8.108
- 43.248.8.76
Domains
- hk.cdn.cat
- light.framework.zip
SHA256
- 0258edc8c3efe8b3d8ccfce790c9192994e54a81dded1c0e116093d638506a01
- 10c43f9dfaf94777f89248720555d17ac275b21ca726291989672b34f3991bc3
- 1d9293814fa3ce62fa67c1cbb8661660ffe1caa848142ba7f58dbbb60bc491ba
- 250e2aefc5a31019da9afeb22b1c704c6fd4db2da1ff6b5a0be4c63d23a32090
- 29e090acf7aa1296fa5d22b0df92a830e7a58467f966dd0f78bd1560dc0bad45
- 2e86456358046e347e05dce6ef6e30af92560901c145b95329fecaf6e64bd898
- 7147672b45832714c8b3d075665345d0860e9ebb672c4b5cbbe17243270ca41d
- 72eff7f7f928f54db67d9b3aeee9a6c2b0af89edc0a71ce09715489ac7644a68
- 74ce9f196c930c50811e4640283779ddd971e6a5ad6771c0577a80147c12bd35
- 7dbc26526fa32e1c91767d8b18abd3f4367f1b55b0f9ccf338fe5b9f74a36e48
- 890712c46e6629a59d1d82840256530f1cd3f1eda5c1e7f7f459ca786e120ba7
- 98a5275997acab23c26165980f221eaf2aab90b779af162c06e8823b4d19c7a3
- 9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd
- 9e4e2c92037f43441376685af7f30c6df602ed9706715073e696a6a178a4b5d7
- aee8ca6bcfff02ae0f931b76f48e39576477af289385cbcde27d3ac3e7fae35e
- bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99
- e7b9e5e3bd6f72c39ef687ae59b2380815e827ea479ad142f278f295d706c5ec
- f05b8387f808a598338ce2258014b2c259a4297a5593779e46029b3c5539ea4e
