据黑莓报告,LightSpy iOS 恶意软件背后与的 APT 组织已通过基于 Windows 的监控框架扩展了其工具集。
LightSpy 专注于从受感染的设备窃取信息,最初于 2020 年被发现,当时它被用于针对亚洲敏感地区 iPhone 用户的攻击。
今年的多份报告显示,LightSpy 的运营者已经扩展了他们的工具集以针对 Android 和 macOS,并扩展了恶意软件的功能,包括添加破坏性模块。
现在,黑莓将这些攻击归咎于黑客组织APT41 (也称为 Barium、Brass Typhoon、Bronze Atlas、Wicked Panda 和 Winnti),并详细介绍了 LightSpy 活动演变的另一个步骤,该活动也已扩展到 Windows 系统。
通过添加适用于Windows 的DeepData监控框架及其 12 个专门用于信息盗窃的插件,该威胁组织拥有了全面的跨平台间谍活动能力,并有复杂的命令和控制 (C&C) 基础设施支持。
据黑莓称,APT41 的监控功能针对 WhatsApp、Telegram、Signal、微信、Outlook、钉钉和飞书等通信平台,以及浏览器、密码管理器和大量系统和网络数据。该 APT 还可以录制音频来监视受害者。
DeepData 由威胁组织的 C&C 服务器以 ZIP 存档的形式提供,其布局与 LightSpy 相同,由一个核心模块和多个针对各种应用程序进行信息窃取的插件组成。
音频录制功能也包含在一个模块中,该模块使用系统的麦克风和开源库 FFmpeg 执行此操作。录音以 .acc 格式保存并发送到攻击者的服务器。
通过仔细检查该框架的各个组件,黑莓发现其开发工作很可能始于 2022 年中期,大多数插件将在 2023 年编译完成。然而,该框架的核心组件是在 2024 年 3 月编译完成的,键盘记录功能是在 10 月添加的。
BlackBerry 表示:“我们的最新发现表明,DeepData 背后的威胁组织专注于长期情报收集。自 2022 年首次开发 LightSpy 间谍软件植入程序以来,攻击者一直在坚持不懈地有条不紊地对通信平台进行战略性攻击,重点是隐身和持续访问。”
报告全文:https://blogs.blackberry.com/en/2024/11/lightspy-apt41-deploys-advanced-deepdata-framework-in-targeted-southern-asia-espionage-campaign
新闻链接:
https://www.securityweek.com/lightspy-ios-spyware-operation-expands-to-windows/
