DazzleSpy 악성 코드

DazzleSpy라는 강력한 iOS 및 macOS 백도어 위협이 민주화 성향의 홍콩 시민을 대상으로 한 워터링 홀 공격에 배포되었습니다. 이 공격은 Apple에 이에 대해 알린 Google TAG에 의해 처음 발견되었습니다. 악성코드 위협을 퍼뜨리기 위해 사이버 범죄자들은 가짜 웹사이트를 구축했으며, 이는 SEKOIA.IO의 Felix Aimé에 의해 보고되었습니다. 그들은 또한 온라인 민주주의 라디오인 D100의 공식 라디오 방송국 웹사이트를 손상시켰습니다. 위협, 잠재적 공격자 및 사용된 감염 체인에 대한 자세한 내용은 연구원 보고서에서 확인할 수 있습니다.

그들의 연구 결과에 따르면 이전에 알려지지 않은 백도어는 운영자의 다양한 명령을 인식하고 손상된 시스템에 수많은 침입 루틴을 설정할 수 있습니다. 공격자의 목표에 따라 DazzleSpy는 특별히 선택한 파일을 추출하고, 실행 중인 프로세스를 열거하고, Dekstop, Documents 및 Downloads 디렉터리에 있는 파일을 열거하고, 임의의 셸 명령을 실행하고, 파일 시스템을 조작하는 등의 작업을 수행할 수 있습니다. DazzleSpy는 이름에서 알 수 있듯이 마우스 이벤트를 기록하고 원격 세션을 시작하거나 종료하여 피해자를 감시할 수도 있습니다. 또한 위협 요소는 CVE-2019-8526 취약점을 악용하는 데 필요한 작업을 수행합니다.

C2 커뮤니케이션 및 귀속

백도어는 또한 공격의 Command-and-Control(C2, C&C) 서버와의 통신을 감시하는 사람이 없는지 확인합니다. 첫째, DazzleSpy는 메시지에 종단 간 암호화를 사용합니다. 이와 별도로 위협 요소는 감염된 장치와 C2 서버 사이에 있는 TLS 검사 프록시를 삽입합니다. 알 수 없는 개체가 도청하는 것으로 감지되면 DazzleSpy는 통신을 시도하지 않습니다.

지금까지 DazzleSpy 공격에 책임이 있는 사이버 범죄 그룹을 구성하는 결정적인 단서는 없습니다. 그러나 작전의 성격과 인포섹 연구원들이 중국어로 된 여러 내부 메시지를 발견했다는 사실이 단서가 될 수 있다. 이 작전은 또한 2020년에 발생한 워터링 홀 공격과 상당한 유사점을 보여줍니다. 당시 위협적인 활동은 TwoSail Junk로 추적된 APT(Advanced Persistent Threat) 그룹에 기인했습니다. 해커는 웹사이트 iframe 주입 기술을 통해 전파된 LightSpy iOS 악성코드로 홍콩 시민을 표적으로 삼았습니다.