卡巴斯基發現一個針對香港居民的網絡攻擊活動,一款被稱為 LightSpy 的間諜程式,透過偽冒的新聞網站傳播,目標是普遍被認為安全性較高的 iOS 香港用戶。
目標是香港居民
在今年的一月,專家們發現一宗大規模的滴水攻擊 (watering-hole attack) 目標是香港的居民,一款多種功能的 iOS 惡意程式 LightSpy 安裝在受害者的智能電話中,事件再次提醒那些一直以為 Apple 裝置 (尤其 iPhone) 可以完全免疫惡意程式的人士,雖然他們受到保護,但凡事都沒有完全的 100%。
偽冒本地新聞傳播
當受害者瀏覽其中一個偽冒的新聞網站,惡意程式就能進入其智能電話,攻擊者只是單純地複製真實新聞網站的編碼,就可以用來看起來完全一樣的偽冒網站,這些網站把大量漏洞工具放入受害者的智能電話,最後結果是安裝 LightSpy。這些假網站透過香港人常到的討論區上散播,只要 iPhone 曾經去過這些惡意的網頁就會感染,無需受害者點擊任何項目。
遠端指令操作的後門程式
LightSpy 是一款模組式後門惡意程式,讓攻擊者能夠在受感染的裝置上遠端執行指令,然後於手機上通行無阻。例如:攻擊者可以因應智能電話的位置,取得它的通訊錄和通話紀錄,瀏覽受害者連接的 Wi-Fi 網絡,掃瞄本地網絡和上載所有偵測到的 IP 地址資料到 C&C 伺服器,此外,後門程式其中一個模組是從 Keychain 盜取資料 (Keychain 負責保存 iOS 的密碼和加密金鑰) ,以及 WeChat、QQ、Telegram 通訊應用程式的資料。
攻擊者沒有使用到零時差的安全漏洞,但使用了可被稱為「1天」的安全漏洞,即是一些新被發現的漏洞,但只有最新的系統更新能安裝其補丁。所以依時更新 iOS 就能避免受到感染,可惜現實時大部份人都不安裝更新。LightSpy 會對使用 iOS 12.1 和 12.2 的智能手機做成威脅 (受影響裝置包括 iPhone 6s 至 iPhone X)。
防範 LightSpy 的方法
暫時未知道 LightSpy 會否在中國以外的地方散播,但這種工具有吸引更廣泛受眾的習慣,所以 iOS 用戶不應心存僥倖,採取以下步驟防範較為實際!
- 安裝最新版本的操作系統,如果你是因為 iOS 13 的事故而有所故慮,現時的版本 13.4 已經修復 Wi-Fi 的臭蟲和其他已知問題。
- 進入連結前加倍留神,尤其由陌生人提供的連結,即使驟眼看起來是熟識的網站,但再小心一點檢查是百利而無一害。
資料來源:Kaspersky Daily
更多 LightSpy 的詳細分析資料,可以瀏覽:Securelist
