サイバーセキュリティ研究者たちは、Apple iOSユーザーを標的にしているとされるLightSpyスパイウェアが、実際にはこれまで文書化されていなかったmacOSバリアントであることを明らかにしました。この発見はHuntress LabsとThreatFabricによって行われ、これらの組織は、Android、iOS、Windows、macOS、Linux、およびNETGEAR、Linksys、ASUSのルーターを感染させる可能性を持つクロスプラットフォームマルウェアフレームワークに関連するアーティファクトを個別に分析しました。
ThreatFabricによると、攻撃者グループは2つの公開されている脆弱性(CVE-2018-4233、CVE-2018-4404)を利用してmacOS用のインプラントを配布しました。macOSバージョン10はこれらの脆弱性を利用して標的にされました。LightSpyは2020年に初めて公に報告されましたが、その後の報告では、このスパイウェアとAndroid監視ツールDragonEggとの間に可能な接続が明らかにされています。
今年の4月、BlackBerryは南アジアのユーザーを標的にした「更新された」サイバースパイ活動を明らかにし、iOSバージョンのLightSpyを配布したと報告しました。しかし、現在、より洗練されたmacOSバージョンが存在し、様々な種類の情報を収集するためのプラグインベースのシステムを使用していることが判明しました。
ThreatFabricの分析によると、macOSフレーバーは2024年1月以降に野生で活動していましたが、そのほとんどがテストデバイスとされる約20台のデバイスに限定されていました。攻撃チェーンは、悪意のあるHTMLページを介してコード実行をトリガーするSafari WebKitの脆弱性CVE-2018-4233の悪用から始まり、PNGイメージファイルに偽装した64ビットMachOバイナリの配信につながります。このバイナリは主に、特権昇格のエクスプロイト、暗号化/復号化ユーティリティ、ZIPアーカイブの3つの追加ペイロードを取得して起動するシェルスクリプトを抽出するよう設計されています。
macOSバージョンは、マイクからのオーディオのキャプチャ、写真の撮影、画面活動の記録、ファイルの収集と削除、シェルコマンドの実行、インストールされたアプリケーションと実行中のプロセスのリストの取得、SafariとGoogle ChromeのウェブブラウザおよびiCloud Keychainからのデータの抽出を可能にする10種類の異なるプラグインをサポートしています。さらに、被害者と同じネットワークに接続されている他のすべてのデバイスに関する情報、デバイスが接続したWi-Fiネットワークのリスト、および近くのWi-Fiネットワークに関する詳細をキャプチャする2つの他のプラグインがあります。
この開発は、Androidデバイスがウズベキスタンとブラジルのモバイルバンキングアプリユーザーを標的にしたBankBotやSpyNoteなどの既知のバンキングトロイの木馬、またはラテンアメリカとカリブ海のユーザーを感染させるためにメキシコの電気通信サービスプロバイダーを偽装する攻撃など、攻撃の対象となっていることと同時に起こります。また、Access NowとCitizen Labの報告書は、ラトビア、リトアニア、ポーランドでロシア語とベラルーシ語を話す野党活動家と独立メディアを標的にしたPegasusスパイウェア攻撃の証拠を明らかにしました。
【ニュース解説】
サイバーセキュリティの研究チームが、AppleのiOSユーザーを狙ったとされるLightSpyスパイウェアに、これまで未文書化だったmacOS向けのバリアントが存在することを発見しました。この発見は、Huntress LabsとThreatFabricによって行われ、彼らはこのクロスプラットフォームマルウェアフレームワークが、Android、iOS、Windows、macOS、Linux、そしてNETGEAR、Linksys、ASUS製のルーターを含む複数のプラットフォームに感染する能力を持つことを示唆しています。
このmacOSバリアントは、2つの公開された脆弱性(CVE-2018-4233およびCVE-2018-4404)を利用して配布され、特にmacOSバージョン10を標的にしています。LightSpyは2020年に初めて報告され、その後の調査でAndroid監視ツールであるDragonEggとの関連性が示唆されていました。
最近では、より洗練されたmacOSバージョンが存在し、プラグインベースのシステムを使用して様々な種類の情報を収集することが明らかにされました。このmacOSバージョンは2024年1月以降に活動していることが確認されており、主にテストデバイスに限定されているようです。
攻撃の手法としては、Safari WebKitの脆弱性を悪用し、PNGイメージファイルに偽装したバイナリを介してシェルスクリプトを実行し、さらに複数のペイロードを取得することで、様々な機能を持つプラグインをダウンロードし、実行します。これにより、マイクからの音声のキャプチャ、写真の撮影、画面の記録、ファイルの収集と削除、シェルコマンドの実行、インストールされたアプリケーションと実行中のプロセスのリストの取得、ウェブブラウザやiCloud Keychainからのデータの抽出など、多岐にわたる情報を収集することが可能になります。
このような高度な監視機能を持つスパイウェアの存在は、個人のプライバシーに対する深刻な脅威を示しています。特に、macOSのような広く使用されているプラットフォームを標的にすることで、多くのユーザーがリスクにさらされる可能性があります。一方で、このような脅威の発見と公表は、セキュリティ対策の強化とユーザーの意識向上に寄与するとも言えます。
長期的な視点で見ると、この種のスパイウェアに対抗するためには、OSのセキュリティアップデートの迅速な適用、不審なリンクやファイルの開封を避けるなどのユーザーの注意深い行動、そしてセキュリティソフトウェアの利用が重要です。また、サイバーセキュリティの研究と情報共有の促進も、このような脅威に効果的に対処するために不可欠です。
from LightSpy Spyware's macOS Variant Found with Advanced Surveillance Capabilities.