ThreatFabricはこのほど、「LightSpy: Implant for macOS」において、macOS向けのスパイウェア「LightSpy」を発見したと伝えた。AndroidやiOSを標的とするLightSpyはこれまでにも確認されていたが、初めてmacOSを標的とするLightSpyを入手したという。

  • LightSpy: Implant for macOS

    LightSpy: Implant for macOS

侵害経路

ThreatFabricの分析によると、LightSpy for macOSは既知の脆弱性「CVE-2018-4233」および「CVE-2018-4404」を悪用してシステムに侵入するという。これら脆弱性はmacOS High Sierra(バージョン10)以前に存在するとされ、比較的古いmacOSが標的とみられる。

  • LightSpy for macOSの侵害経路 - 引用:ThreatFabric

    LightSpy for macOSの侵害経路 引用:ThreatFabric

攻撃者はこれら脆弱性を悪用し、悪意のあるWebサイトを通じて標的のデバイス上で悪意のある実行可能ファイル「20004312341.png」を実行する。実行可能ファイルは自身に埋め込まれたスクリプトを復号して実行する。

スクリプトはZIPファイルをダウンロードし「/tmp」に展開する。ZIPファイルには実行可能ファイル「update」と「update.plist」が含まれており、launchctlを使用してupdateを60秒おきに実行するよう登録する。updateにはLightSpy本体をダウンロードして実行する機能があり、これによりシステムが永続的に侵害される。

影響と対策

LightSpyは複数の追加プラグインにより機能を拡張する。macOS版では10個の追加プラグインをダウンロードすることが確認されており、次のような機能があるという。

  • soundrecord - 音声の窃取
  • browser - SafariおよびChromeの履歴窃取
  • cameramodule - カメラ映像の窃取
  • FileManage - ファイルの操作および窃取
  • keychain - キーチェーン情報の窃取
  • LanDevices - ローカルネットワーク情報の窃取
  • softlist - 現在実行中のプロセス一覧とインストールされているアプリ一覧の窃取
  • ScreenRecorder - スクリーンショットの窃取
  • ShellCommand - リモートシェルの提供
  • Wi-Fi - 近くの無線LAN一覧と無線LAN接続履歴の窃取

LightSpy for macOSは比較的古い脆弱性を悪用してシステムに侵入する。そのため、この攻撃を回避するためにMacデバイスの管理者には、システムおよびSafariを最新の状態に維持することが推奨されている。また、ThreatFabricは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。