「中毒新聞行動」：黑客利用後門對香港iOS用戶發起水坑攻擊

• 2020 年 3 月 31 日
• 筆記

這是一場旨在利用iOS後門感染香港用戶的運動，該iOS後門被命名為lightSpy，可使攻擊者接管設備。

2月19日，趨勢科技的安全研究人員發現了一個針對iOS用戶的水坑攻擊。其URL指向一個惡意網站，該網站具有指向不同站點的三個iframe。其中一個iframe可見，並指向合法的新聞網站，另一個iframe用於網站分析，而第三個則指向託管iOS漏洞利用主要腳本的網站。

帶有三個iframe的惡意網站的HTML代碼

攻擊者通過在香港流行的論壇上發佈誘餌式的頭條新聞以傳播惡意鏈接，這些鏈接會將用戶引導到真實的新聞網站，但這些網站因為被注入了隱藏的iframe，用戶訪問後會加載並運行惡意軟件。

此外，還發現了第二種水坑攻擊：複製合法站點並注入iframe。該攻擊似乎已於1月2日開始，持續到3月20日。但目前無法確定到這些網站的鏈接的分發位置。

這些攻擊利用了影響iOS 12.1和12.2設備的安全漏洞，以整個網站的用戶為目標。通過支持外殼命令和文件操作，惡意軟件使攻擊者可以監視用戶並完全控制受感染的設備。本質上是模塊化的lightSpy允許對連接的WiFi歷史記錄、聯繫人、GPS位置、硬件信、iOS鑰匙串、電話歷史記錄、Safari和Chrome瀏覽器歷史記錄、SMS消息以及本地網絡IP地址進行過濾。

此外，該惡意軟件專門針對Messenger應用程序，例如Telegram，QQ和微信。2019年，就有過針對Android用戶的類似攻擊，並通過與香港相關的公共電報渠道發佈了惡意APK，名為dmsSpy的Android惡意軟件會泄露設備信息、聯繫人和SMS消息。

這些攻擊行動的設計和功能表明，該活動並非針對受害者，而是旨在更多地利用移動設備進行後門和監視。根據其分發方式將此活動命名為「中毒新聞行動」（Operation Poisoned News）。

參考：Operation Poisoned News: Hong Kong Users Targeted With Mobile Malware via Local News Links

*本文作者：kirazhou，轉載請註明來自FreeBuf.COM