资安业者BlackBerry调查今年4月间谍软件LightSpy的攻击行动,发现黑客针对Windows电脑开发恶意软件框架DeepData Framework,并使用12款插件程序来监控目标人士的行踪
今年4月,苹果罕见对全球92个国家对用户发出佣兵间谍软件(Mercenary Spyware)攻击警告,他们向可能已遭到攻击的用户发出通知,当时资安业者BlackBerry表示,曾在2020年出没的iOS间谍软件LightSpy死灰复燃,黑客针对苹果电脑开发变种版本F_Warehouse,攻击者很有可能来自中国,如今他们揭露进一步的调查结果。
根据BlackBerry本周公布的报告指出,他们发现使用LightSpy的歹徒,与中国黑客组织APT41有高度关联,而且,这些黑客也针对Windows电脑打造名为DeepData Framework的恶意程序框架,进一步延伸他们的网络间谍活动。
针对这个恶意程序框架,黑客采用模块化设计,目前具备12款能窃取各式数据的插件程序,此外,该框架也强化跨平台监控能力,并使用复杂的命令与控制基础设施,使得攻击者从事间谍活动的行踪难以捉摸。
而对于监控受害者的规模,比起黑客先前使用的恶意软件,收集数据的深度及广度有了进一步的延伸。
针对用户通信进行监控的部分而言,攻击者能在未经授权的情况下,入侵WhatsApp、Telegram、Signal、微信(WeChat)等知名即时通信软件,再者,该框架也能监控Outlook的信件,以及中国云端服务业者阿里巴巴、字节跳动开发的企业协作平台钉钉(DingTalk)及飞书(Lark)。回顾过往LightSpy的作法,显示他们后来也开始监控电子邮件与协作平台,而这些都是未曾出现的活动模式。
值得一提的是,此恶意程序框架也具备窃资软件(Infostealer)相关功能,包含窃取浏览器帐密数据及上网记录、应用程序帐密、网络身份验证数据等,除此之外,攻击者也能从密码管理工具KeePass挖掘更多帐密数据。
除此之外,此恶意软件也具备挖掘系统信息的能力,以及网络组态,并能调查电脑安装那些软件,甚至还能进一步进行录音。
关于DeepData这款框架发现,研究人员是在调查LightSpy,以及APT41使用的安卓间谍软件的过程发现,他们在APT41的C2,找到名为deepdata.zip的文件,从而发现黑客也对Windows电脑开发网络间谍工具。
