LightSpy: Угрозы и эволюция кибершпионского ПО

LightSpy: Угрозы и эволюция кибершпионского ПО

LightSpy — это сложная вредоносная программа, о которой впервые стало известно в 2020 году. Она известна своими широкими возможностями таргетинга на нескольких платформах, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы.

Методы распространения и изменения

Первоначально было замечено, что это вредоносное ПО внедряется с помощью тактики «полива» и доставки на основе эксплойтов. Однако, LightSpy продемонстрировала стойкость, часто изменяя свою инфраструктуру, чтобы избежать обнаружения.

  • Расширение списка команд до более чем 100 команд.
  • Смещение акцента на извлечение данных из Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta).
  • Потенциальное расширение возможностей для наблюдения и использования личных данных.

Новые возможности и функции

Недавние анализы показывают, что LightSpy обновила свой функционал, внедрив функции управления передачами и отслеживания версий плагинов.

Особое внимание уделяется следующему:

  • Сбор личных сообщений, списков контактов и метаданных учетных записей.
  • Активное взаимодействие с серверами, связанными с LightSpy.
  • Получение метаданных, относящихся к ядру вредоносного ПО.

Технические детали и исследования

Инфраструктура, связанная с LightSpy, постоянно отслеживалась, что привело к выявлению активных IP-адресов, таких как 149.104.18.80. Эти серверы содержали конфигурации, указывающие на сложность работы вредоносного ПО.

Детальное исследование показало, что:

  • Отсутствие подключаемых модулей для Linux, Android или macOS.
  • Основные цели недавних операций — это системы iOS и Windows.

Панели администратора, размещенные на определенных IP-адресах, предоставляют операторам возможность управлять скомпрометированными системами, а также выявляют закономерности действий оператора с помощью различных процессов аутентификации.

Рекомендации по кибербезопасности

Современные рекомендации по снижению рисков, связанных с такими вредоносными программами, включают:

  • Ограничение разрешений для приложений.
  • Использование расширенных функций безопасности на устройствах.
  • Проведение тщательной проверки системных журналов для выявления возможных заражений.

Аналитики активно стремятся усовершенствовать стратегии обнаружения и защиты от этой постоянно развивающейся угрозы, подчеркивая важность бдительности в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: