LightSpy APT攻击微信用户窃取支付数据

2023年 10月 9日 133.7k 0

LightSpy 恶意软件是针对香港 iOS 用户进行水坑攻击的恶意软件,被发现嵌入了 Android 植入 Core 及其来自 20 个活动服务器的 14 个相关插件,用于攻击移动用户。

LightSpy 是一种移动高级持续威胁 (mAPT),它使用新的复杂技术来攻击移动用户。该恶意软件已被确认为国家资助的组织 APT41 所为。

最近的报告表明,该恶意软件一直在使用微信支付系统访问支付数据、监控私人通信并执行各种恶意活动。

LightSpy APT攻击微信用户

根据《网络安全新闻》分享的报告,LightSpy 恶意软件是一种功能齐全的模块化监视工具集,被发现使用各种插件来泄露私人和支付数据。此外,该恶意软件非常关注受害者的私人信息。

其功能包括利用其后端基础设施从微信支付中窃取支付数据,并从微信获取音频相关功能以记录受害者的 VOIP 对话。

但是,该恶意软件无法作为独立应用程序运行,因为它也是一个插件。此外,恶意软件的核心负责执行整个攻击链所需的所有功能。

核心功能包括设备指纹收集、控制服务器连接建立、从服务器检索命令并更新自身,以及附加有效负载文件(也称为插件)。

14 个 LightSpy 插件

恶意软件中添加了多个插件,包括soft list、baseinfo、bill、cameramodule、chatfile、filemanager、locationmodule、locationBaidu、qq、shell、soundrecord、telegram、wechat和wifi。

正如报告中提到的,最重要的插件之一是位置模块插件,它负责位置跟踪,可以发送当前位置的快照,或者可以设置指定时间间隔的位置跟踪。该插件基于两个位置跟踪框架:腾讯位置SDK和百度位置SDK。

另一个重要的插件是 Soundrecord 插件,它负责录制音频。该插件还可以立即或以指定的时间间隔开始麦克风录音。此外,该插件还可以记录来电。

Bill插件是另一个重要的插件,负责从微信支付(中国的微信支付)收集受害者的支付历史信息,其中包括最后的账单ID、账单类型、交易ID、日期和处理支付的标志。

iOS 和 Android 命令之间的关系

ThreatFabric 已经发布了有关 LightSpy 的完整报告,其中提供了有关威胁向量、源代码、分析和其他信息的详细信息。

妥协指标

控制服务器:

域名

spaceskd[.]com

知识产权

103.27.108[.]207
46.17.43[.]74

文件哈希值:

第二阶段有效负载(smalmload.jar)

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c
bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

核心

SHA256                                                              版本
68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541    6.5.24
5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00    6.5.24
bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc    6.5.25
9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd    6.2.1
a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3    6.5.19
77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b    6.2.0
d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e    6.2.1
3849adc161d699edaca161d5b6335dfb7e5005056679907618d5e74b9f78792f    6.2.6
2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4    5.2.1

插件

插件名称            SHA256
softlist           7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112
baseinfo           cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89
bill               c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6
cameramodule       bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325
chatfile           7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b
filemanager        e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546
locationmodule     bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04
locationBaidu      177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1
qq                 f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5
shell              e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be
soundrecord        c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e
telegram           71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486
wechat             bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1
wifi               446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11

转载来源:https://gbhackers.com/lightspy-apt-attacking-wechat-users/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论