新聞網站隱藏惡意程式碼,鎖定香港 iOS 用戶,具監視並取得裝置控制能力

最近發現一波針對香港iOS用戶的水坑攻擊。這波攻擊在多家論壇貼上聲稱連至各類新聞報導的連結。雖然這些連結的確會將使用者帶到真正的新聞網站，卻也用了隱藏iframe來載入和執行惡意程式碼。這惡意程式碼會攻擊iOS 12.1和12.2的漏洞。一旦使用帶有漏洞的裝置點入這些連結會下載新的iOS惡意軟體，我們將其稱之為 lightSpy（偵測為IOS_LightSpy.A）。

這隻惡意軟體是個模組化的後門程式，可以讓駭客遠端執行shell命令並操弄中毒裝置上的檔案。讓攻擊者能夠監視使用者裝置並取得完全控制的能力。它帶有各種模組來從中毒裝置取得資料，包括了：

連接WiFi記錄
聯絡人
GPS位置
硬體資訊
iOS鑰匙圈
電話通話記錄
Safari和Chrome瀏覽器歷史記錄
簡訊

使用者的網路環境資訊也會從目標裝置流出：

可使用的WiFi網路
本地網路IP位址

即時通應用程式也被當成目標來獲取資訊。被針對的應用程式包括：

Telegram
QQ
微信

趨勢科技的研究還發現在2019年有類似活動針對Android裝置。可從各香港相關Telegram公開頻道找到惡意.APK檔案連結。訊息聲稱這些是各種正常的應用程式，但卻是會洩露裝置資訊、連絡人和簡訊的惡意應用程式。我們稱之為Android惡意軟體家族dmsSpy（dmsSpy變種被偵測為AndroidOS_dmsSpy.A）。

這波攻擊活動的設計和功能顯示出並沒有特定針對的目標，而是要盡可能地入侵行動裝置來部署後門程式和進行監控。我們根據這波攻擊的散播方法將其命名”毒新聞（Poisoned News）行動”。

下文提供lightSpy和dmsSpy功能及散播方式的大致描述。而更進一步的技術細節（如入侵指標IoC）則可從技術簡報中獲得。

*散播：毒新聞（Poisoned News）和水坑（Watering Hole***）

趨勢科技在2月19日發現針對iOS用戶的水坑攻擊。所用網址會導向攻擊者建立的惡意網站，裡面包含指向不同網站的三個iframe。唯一可見的iframe導向正常的新聞網站，讓人們相信自己正在瀏覽該網站。有一個隱藏的iframe被用於網站分析；而另一個則導到託管iOS漏洞攻擊腳本的網站。底下截圖顯示這三個iframe的程式碼：

圖1. 惡意網站HTML碼包含了三個iframe

這些惡意網站連結被張貼在四個不同論壇上，這些都是香港居民所熟知的網站。這些論壇還有提供應用程式好讓讀者可以輕鬆地在行動裝置上瀏覽。毒新聞行動將連結貼到這些論壇的一般性討論區。貼文包括了特定新聞標題、圖片及指向新聞網站的（假）連結。

這些文章都是用新註冊帳號貼到相關論壇，所以我們相信這些貼文並非是使用者轉貼自己認為是正常的連結。誘餌都是情色相關、誘人點擊的頭條新聞或是COVID-19肺炎相關的新聞。我們認為這些主題並非是要針對任何對象；而是將目標放在所有的網站使用者。

圖2. 這波攻擊所張貼的新聞主題

圖3. 包含惡意網站連結的論壇貼文

除了上述手法，我們也看到第二類的水坑網站。攻擊者會仿冒正常網站並注入惡意iframe。根據我們的遙測資料顯示此類水坑攻擊在香港從1月2日開始散播。但是並無法確知這些連結的分佈位置。

圖4. 帶有惡意iframe的仿冒新聞網頁

這些攻擊一直持續到3月20日，論壇貼文聲稱是關於香港抗議日程表。但其實連結會導向前述相同的感染鏈。

圖5. 聲稱連到日程表的惡意連結

感染鏈

這波攻擊會攻擊iOS 12.1和12.2的漏洞。目標包含各種iPhone型號（從iPhone 6S到iPhone X），如下圖所示：

圖6. 檢查目標裝置

整個漏洞攻擊鏈牽涉到一個被默默修補的Safari臭蟲（可用於多個最近的iOS版本）和一個特製的核心（kernel）漏洞攻擊碼。一旦Safari瀏覽器執行程式碼就會遭受漏洞攻擊（Apple已經默默地在較新的iOS版本中修補），進而攻擊一個已知核心漏洞來取得最高權限。這個核心漏洞關聯到CVE-2019-8605。被默默修補的Safari臭蟲沒有關聯的CVE，儘管有其他研究人員提到與此問題相關的修補失敗紀錄。

一旦裝置被感染，攻擊者會安裝一個無紀錄且複雜的間諜軟體來保持對裝置的控制並取得資訊。間諜軟體有著模組化的設計並具備多種功能，包括：

模組更新
對每個模組的遠端命令調度
完整的shell命令模組

這間諜軟體的許多模組都是為了取回資料而設計；例如從Telegram和Wechat竊取資訊的模組都有。下圖顯示了感染鏈及所用的各種模組。

圖7. lightSpy感染鏈

我們將此新威脅命名為lightSpy，來自模組管理器的名稱light。我們還注意到launchctl模組所用設定檔解碼後包含了指向/androidmm/light位置的網址，顯示出此威脅也有Android的版本。

另一值得注意的事情：檔案payload.dylib是用合法的Apple開發人員證書簽章，而且發生在2019年11月29日。這讓我們可以得出此波攻擊活動開始的時間。

*lightSpy惡意行為概述***

此章節會簡述lightSpy及相關模組（文章長度限制了我們能夠提供的詳細資訊）。但我們會在技術簡報裡提供更多技術細節。

觸發核心漏洞攻擊碼時，payload.dylib會繼續下載多個模組，如下圖所示：

圖8. 下載的模組

其中有些模組與啟動和載入有關。如launchctl是一種用來載入或卸載守護程序（daemon）/代理程式（agent）的工具，它用ircbin.plist作為參數進行。此守護程序則會執行irc_loader，不過顧名思義地它只用來載入主要惡意軟體模組light。但它的確內建了C&C伺服器的位置。

light模組是惡意軟體的主要控制程式，能夠載入和更新其他模組。其餘模組都是用來提取和流出不同類型的資料，如下所示：

dylib – 取得和上傳基本資訊，如iPhone硬體資訊、連絡人、簡訊和通話記錄
ShellCommandaaa – 在中毒裝置上執行shell命令；結果會被序列化並上傳到指定伺服器
KeyChain – 竊取和上傳Apple鑰匙圈內的資訊
Screenaaa – 掃描和ping與中毒裝置位在同一網路的裝置；ping結果會上傳給攻擊者
SoftInfoaaa – 取得裝置上的應用程式和程序列表
FileManage – 在裝置上進行檔案操作
WifiList – 取得儲存的Wi-Fi資訊（儲存的網路、歷史記錄等）。
browser – 從Chrome和Safari取得瀏覽器歷史記錄。
Locationaaa – 取得使用者位置資訊。
ios_wechat – 取得微信相關資訊，包括：帳號資訊、連絡人、群組、訊息和檔案。
ios_qq – 類似ios_wechat模組，但目標是QQ。
ios_telegram – 類似前兩個模組，但目標是Telegram。

綜合來看，此威脅可以讓駭客徹底掌控中毒裝置，並取得大部分使用者認為機密的內容。香港流行的幾個聊天應用程式都成了攻擊目標，顯示出這些是駭客的目標。

dmsSpy概述

正如前面所提到，lightSpy有一個Android版本，我們稱之為dmsSpy。這些變種在2019年偽裝成各種應用程式透過Telegram公開頻道派送。雖然這些連結在我們研究時已經無效，但我們能夠取得其中一個變種的樣本。

我們的樣本號稱是包含香港抗議日程表的日曆應用程式。它包含惡意應用程式中常見的許多功能，例如要求敏感權限以及將敏感資訊傳送到C&C伺服器。這包括看似無害的資訊（如所用裝置型號），但也有更加敏感的資訊（如連絡人、簡訊、使用者位置和儲存檔案名稱）。dmsSpy也會註冊接收服務來讀取新收到的簡訊以及撥打USSD代碼。

我們可以取得關於dmsSpy的更多資訊是因為它的作者錯誤地啟動其網頁框架偵錯模式。這讓我們可以查看伺服器使用的API。可以看到我們在樣本未見到的進一步功能，包括螢幕截圖以及將APK檔安裝到裝置上的能力。

圖9. 從網頁框架洩漏的API列表

我們認為這些攻擊彼此間都有關聯。dmsSpy的下載及命令和控制伺服器使用跟毒新聞iOS元件所用水坑之一相同的網域名稱（hkrevolution[.]club），不過他們確實使用不同的子網域。因此我們認為這Android惡意威脅是由同一組攻擊者操作，並且和毒新聞行動有關。

廠商聲明

我們聯繫了本文中提到的各家廠商。騰訊回應如下：

趨勢科技的這份報告提醒了人們為什麼保持電腦和行動裝置作業系統更新很重要。報告裡記錄的漏洞會影響iOS 12.1和12.2的Safari瀏覽器，這些漏洞在 iOS的後續更新中被修復。

我們的微信和QQ使用者中有很小一部分仍在使用包含此漏洞的舊版iOS。我們已經提醒這些使用者要儘快將其裝置更新為最新的iOS。

騰訊相當重視資料安全，並將繼續努力確保我們的產品和服務建立在可確保使用者資料安全的強大且安全平臺之上。

Apple也經由趨勢科技的零時差計畫（ZDI）得知此研究。我們也就我們的發現聯繫了Telegram，直到本文發表時尚未收到回復。

最佳實作和解決方案

使用者有幾種做法來避免這類威脅。對iOS使用者來說，最重要的是要保持iOS 更新。能夠解決此問題的更新已經出現一年多了，這代表將裝置保持在最新版本的使用者可以避免此威脅所攻擊漏洞的影響。

對於Android使用者，我們取得的樣本是在Google Play商店之外透過Teleram頻道連結派送。我們強烈建議使用者避免從可信任應用商店之外安裝應用程式，因為以這類方式派送的應用程式經常會包含惡意程式碼。

使用者還可以安裝安全解決方案，如趨勢科技行動安全防護，這些解決方案能夠封鎖惡意應用程式。使用者還可以利用其多層次安全防護功能來保護自己的資料和隱私，同時能夠抵禦勒索軟體、詐騙網站和身份竊盜等威脅。

對於企業，趨勢科技的行動安全防護企業版提供了裝置、法規遵循和應用程式管理，資料保護和設定配置，同時能夠保護裝置抵禦漏洞攻擊，防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務（MARS）使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。

可以從技術簡報獲得入侵指標及此次攻擊的完整技術細節。

@原文出處：Operation Poisoned News: Hong Kong Users Targeted With Mobile Malware via Local News Links 作者：Elliot Cao、Joseph C. Chen、William Gamazo Sanchez、Lilang Wu和Ecular Xu