攻击目标锁定香港人，不明黑客携lightSpy间谍软件袭来

络安全公司趋势科技（Trend Micro）在周二发布的一篇博文中称，该公司旗下研究人员于上个月19日发现了一场目标锁定香港iOS用户的水坑攻击活动。受害者一旦中招，将感染一种名为“lightSpy”的间谍软件，进而遭到长期的监视。

攻击活动分析

根据趋势科技的说法，攻击者先是将一些新闻 道链接发布在了至少四个论坛上，而受害者在点击这些链接后也确实会进入真实的新闻 站，但隐藏的iframe同时也会加载并执行恶意代码。

图1.包含新闻 道链接的诱饵帖子

图2.诱饵帖子的内容

图3.带有三个iframe的 站HTML代码

调查显示，这场攻击活动可能开始于1月2日，且至少在3月20日仍在持续。

图4.最新发现的诱饵帖子

感染链分析

趋势科技表示，恶意代码涉及针对iOS 12.1和12.2中存在的两个漏洞（其中一个是 CVE-2019-8605）的利用，涵盖多种iPhone机型，从iPhone 6S到iPhone X。

图5.用于检查设备型 的代码

攻击者旨在获取受感染iOS设备的root权限，然后下载并安装lightSpy间谍软件，完整的感染链如下图所示：

图6.lightSpy感染链

恶意软件分析

lightSpy具有模块化的结构，允许攻击者远程执行shell命令并操控受感染设备上的文件。换句话来说，受害者的各种操作都将暴露在攻击者的监视之下，而且攻击者也可以随时接管受感染的设备或者转储如下信息：

此外，它还能够从一些 交软件中窃取数据，包括Telegram、QQ以及微信。

如上所述，lightSpy的这些功能都是通过下载的各个模块来实现的，完整的模块列表及对应功能如下：

图7.lightSpy模块

值得一提的是，lightSpy还有一个适用于Android操作系统的版本，即在2019伪装成各种APP并主要通过Telegram公共频道传播的dmsSpy。

趋势科技表示，尽管大多数旨在传播dmsSpy的链接都已经失效，但他们还是发现了一个伪装成日历工具的dmsSpy变种样本。换句话来说，攻击者依然没有放弃Android用户。

结语

无论是iOS用户也好，还是Android用户也好，想要避免遭受lightSpy/dmsSpy的侵害，及时更新操作系统版本都是十分有必要的。因为，这将使得一些老旧漏洞不再能够被 络黑客所利用。