Malware DazzleSpy

Silná, plnohodnotná hrozba zadních vrátek pro iOS a macOS s názvem DazzleSpy byla nasazena při útocích proti obyvatelům Honk Kongu s prodemokratickými sklony. Útoků si jako první všiml Google TAG, který o nich informoval Apple. K šíření malwarové hrozby vytvořili kyberzločinci falešnou webovou stránku, na kterou upozornil Felix Aimé ze SEKOIA.IO. Narušili také oficiální webovou stránku rozhlasové stanice D100, online prodemokratického rádia. Další podrobnosti o hrozbě, potenciálních útočníkech a použitém infekčním řetězci byly k dispozici ve zprávě výzkumníků.

Podle jejich zjištění může dříve neznámá zadní vrátka rozpoznat četné různé příkazy od svých operátorů a zavést četné invazivní rutiny na kompromitovaných systémech. V závislosti na cílech útočníků může DazzleSpy exfiltrovat konkrétně vybrané soubory, výčet běžících procesů, výčet souborů v adresářích Dekstop, Documents a Downloads, spouštět libovolné příkazy shellu, manipulovat se systémem souborů a další. DazzleSpy, jak jeho název napovídá, je také schopen špehovat oběť protokolováním událostí myši a také spouštěním nebo ukončováním vzdálených relací. Hrozba navíc provádí nezbytné úkoly ke zneužití zranitelnosti CVE-2019-8526.

C2 Komunikace a atribuce

Zadní vrátka také zajišťují, že nikdo nešpehuje jeho komunikaci se serverem Command-and-Control (C2, C&C) útoku. Za prvé, DazzleSpy využívá pro své zprávy end-to-end šifrování. Samostatně hrozba vloží proxy pro kontrolu TLS, která stojí mezi infikovanými zařízeními a serverem C2. Pokud je zjištěna neznámá entita k odposlechu, DazzleSpy se nepokusí o komunikaci.

Dosud neexistují žádné přesvědčivé stopy, které by ustanovily kyberzločineckou skupinu odpovědnou za útoky DazzleSpy. Vodítkem však může být povaha operace a skutečnost, že výzkumníci infosec našli několik interních zpráv v čínštině. Operace také vykazuje významné podobnosti s útokem na napajedlo, ke kterému došlo v roce 2020. Tehdy byla hrozivá aktivita připisována skupině APT (Advanced Persistent Threat) sledované jako TwoSail Junk. Hackeři se zaměřili na občany Hongkongu pomocí malwaru LightSpy iOS, který byl šířen pomocí technik vkládání prvků iframe na webové stránky.