DazzleSpy Malware

DazzleSpy नामक एक शक्तिशाली, पूरी तरह से विकसित iOS और macOS बैकडोर खतरे को लोकतंत्र समर्थक झुकाव वाले हांगकांग के नागरिकों के खिलाफ वाटरिंग-होल हमलों में तैनात किया गया था। हमलों को सबसे पहले Google TAG ने देखा, जिन्होंने Apple को उनके बारे में सूचित किया। मैलवेयर के खतरे को फैलाने के लिए, साइबर अपराधियों ने एक नकली वेबसाइट स्थापित की, जिसकी रिपोर्ट SEKOIA.IO के फेलिक्स ऐम ने की थी। उन्होंने D100 की आधिकारिक रेडियो स्टेशन वेबसाइट, एक ऑनलाइन, लोकतंत्र समर्थक रेडियो से भी समझौता किया। शोधकर्ताओं की एक रिपोर्ट में खतरे, संभावित हमलावरों और नियोजित संक्रमण श्रृंखला के बारे में अधिक जानकारी उपलब्ध कराई गई थी।

उनके निष्कर्षों के मुताबिक, पहले अज्ञात पिछले दरवाजे अपने ऑपरेटरों से कई अलग-अलग आदेशों को पहचान सकते हैं और समझौता किए गए सिस्टम पर कई आक्रामक दिनचर्या स्थापित कर सकते हैं। हमलावरों के लक्ष्यों के आधार पर, DazzleSpy विशेष रूप से चुनी गई फ़ाइलों को बाहर निकाल सकता है, चल रही प्रक्रियाओं की गणना कर सकता है, Dekstop, दस्तावेज़ों और डाउनलोड निर्देशिकाओं में फ़ाइलों की गणना कर सकता है, मनमानी शेल कमांड निष्पादित कर सकता है, फ़ाइल सिस्टम में हेरफेर कर सकता है, और बहुत कुछ कर सकता है। DazzleSpy, जैसा कि इसके नाम से पता चलता है, माउस घटनाओं को लॉग करके, साथ ही दूरस्थ सत्रों को शुरू या समाप्त करके पीड़ित की जासूसी करने में सक्षम है। इसके अलावा, खतरा CVE-2019-8526 भेद्यता का दुरुपयोग करने के लिए आवश्यक कार्य करता है।

C2 संचार और विशेषता

पिछला दरवाजा यह भी सुनिश्चित करता है कि कोई भी हमले के कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ उसके संचार पर जासूसी नहीं कर रहा है। सबसे पहले, DazzleSpy अपने संदेशों के लिए एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है। अलग से, खतरा एक TLS-निरीक्षण प्रॉक्सी सम्मिलित करता है जो संक्रमित उपकरणों और C2 सर्वर के बीच खड़ा होता है। यदि किसी अज्ञात इकाई को छिपकर बात करने का पता चलता है, तो DazzleSpy संचार का प्रयास नहीं करेगा।

अब तक, DazzleSpy हमलों के लिए जिम्मेदार साइबर अपराधी समूह को स्थापित करने के लिए कोई निर्णायक सुराग नहीं मिला है। हालांकि, ऑपरेशन की प्रकृति और तथ्य यह है कि इन्फोसेक शोधकर्ताओं ने चीनी में कई आंतरिक संदेश पाए, यह एक सुराग हो सकता है। ऑपरेशन 2020 में हुए वाटरिंग-होल हमले के लिए महत्वपूर्ण समानताएं भी प्रदर्शित करता है। इसके बाद, धमकी देने वाली गतिविधि को एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के लिए जिम्मेदार ठहराया गया था जिसे टूसेल जंक के रूप में ट्रैक किया गया था। हैकर्स ने हॉन्ग कॉन्ग के नागरिकों को LightSpy आईओएस मालवेयर से निशाना बनाया जिसे वेबसाइट आईफ्रेम इंजेक्शन तकनीक के जरिए प्रचारित किया गया था।