DazzleSpy Malware

En potent, fuldgyldig iOS- og macOS-bagdørstrussel ved navn DazzleSpy blev indsat i vandhulsangreb mod Honk Kong-borgere med pro-demokratiske holdninger. Angrebene blev først bemærket af Google TAG, som informerede Apple om dem. For at sprede malware-truslen oprettede cyberkriminelle en falsk hjemmeside, som blev rapporteret af Felix Aimé fra SEKOIA.IO. De kompromitterede også den officielle radiostations hjemmeside for D100, en online, pro-demokratisk radio. Flere detaljer om truslen, de potentielle angribere og den ansatte infektionskæde blev gjort tilgængelige i en rapport fra forskere.

Ifølge deres resultater kan den hidtil ukendte bagdør genkende adskillige forskellige kommandoer fra sine operatører og etablere adskillige invasive rutiner på de kompromitterede systemer. Afhængigt af angribernes mål kan DazzleSpy eksfiltrere specifikt valgte filer, opregne kørende processer, opregne filer i mapperne Dekstop, Dokumenter og Downloads, udføre vilkårlige shell-kommandoer, manipulere filsystemet og mere. DazzleSpy, som navnet antyder, er også i stand til at spionere på offeret ved at logge musehændelser samt starte eller afslutte fjernsessioner. Derudover udfører truslen de nødvendige opgaver for at misbruge CVE-2019-8526-sårbarheden.

C2 Kommunikation og tilskrivning

Bagdøren sørger også for, at ingen udspionerer dens kommunikation med Command-and-Control-serveren (C2, C&C) for angrebet. For det første bruger DazzleSpy end-to-end-kryptering til sine meddelelser. Separat indsætter truslen en TLS-inspektionsproxy, der står mellem de inficerede enheder og C2-serveren. Hvis en ukendt enhed opdages til at aflytte, vil DazzleSpy ikke gøre et kommunikationsforsøg.

Indtil videre er der ingen afgørende spor, der etablerer den cyberkriminelle gruppe, der er ansvarlig for DazzleSpy-angrebene. Imidlertid kan arten af operationen og det faktum, at infosec-forskerne fandt flere interne beskeder på kinesisk, være et fingerpeg. Operationen udviser også betydelige ligheder med et vandhulsangreb, der fandt sted i 2020. Dengang blev den truende aktivitet tilskrevet en APT-gruppe (Advanced Persistent Threat) sporet som TwoSail Junk. Hackerne målrettede Hongkong-borgere med LightSpy iOS-malware, der blev udbredt gennem iframe-injektionsteknikker på webstedet.