DazzleSpy البرامج الضارة

تم نشر تهديد قوي ومكتمل لنظامي التشغيل iOS و macOS يسمى DazzleSpy في هجمات بئر الماء ضد مواطني هونج كونج ذوي الميول المؤيدة للديمقراطية. تم ملاحظة الهجمات لأول مرة بواسطة Google TAG ، الذي أبلغ شركة Apple عنها. لنشر تهديد البرامج الضارة ، أنشأ مجرمو الإنترنت موقعًا مزيفًا ، تم الإبلاغ عنه بواسطة Felix Aimé من SEKOIA.IO. كما قاموا بخرق موقع محطة الإذاعة الرسمية D100 ، وهي إذاعة على الإنترنت مؤيدة للديمقراطية. تم توفير مزيد من التفاصيل حول التهديد والمهاجمين المحتملين وسلسلة العدوى المستخدمة في تقرير صادر عن الباحثين.

وفقًا للنتائج التي توصلوا إليها ، يمكن للباب الخلفي غير المعروف سابقًا التعرف على العديد من الأوامر المختلفة من مشغليها وإنشاء العديد من الإجراءات الغازية على الأنظمة المخترقة. اعتمادًا على أهداف المهاجمين ، يمكن لـ DazzleSpy استخراج الملفات المختارة على وجه التحديد ، وتعداد العمليات الجارية ، وتعداد الملفات في دلائل Dekstop ، والمستندات ، والتنزيلات ، وتنفيذ أوامر shell التعسفية ، ومعالجة نظام الملفات ، والمزيد. DazzleSpy ، كما يوحي اسمه ، قادر أيضًا على التجسس على الضحية عن طريق تسجيل أحداث الماوس ، بالإضافة إلى بدء أو إنهاء الجلسات البعيدة. بالإضافة إلى ذلك ، يقوم التهديد بتنفيذ المهام الضرورية لإساءة استخدام ثغرة CVE-2019-8526.

C2 الاتصال والعزو

يتأكد الباب الخلفي أيضًا من عدم تجسس أي شخص على اتصاله بخادم الأوامر والتحكم (C2 ، C&C) للهجوم. أولاً ، يستخدم DazzleSpy التشفير من طرف إلى طرف لرسائله. بشكل منفصل ، يُدرج التهديد وكيل فحص TLS الذي يقف بين الأجهزة المصابة وخادم C2. إذا تم اكتشاف كيان غير معروف للتنصت ، فلن يقوم DazzleSpy بمحاولة اتصال.

حتى الآن ، لا توجد أدلة قاطعة تشكل مجموعة المجرمين الإلكترونيين المسؤولة عن هجمات DazzleSpy. ومع ذلك ، قد تكون طبيعة العملية وحقيقة أن باحثي إنفوسك قد وجدوا عدة رسائل داخلية باللغة الصينية دليلًا. تُظهر العملية أيضًا أوجه تشابه كبيرة مع هجوم حفرة المياه الذي حدث في عام 2020. في ذلك الوقت ، نُسب النشاط التهديد إلى مجموعة APT (التهديد المستمر المتقدم) التي تم تعقبها على أنها TwoSail Junk. استهدف المتسللون مواطني هونغ كونغ باستخدام برنامج LightSpy iOS الضار الذي تم نشره من خلال تقنيات حقن موقع الويب iframe.