DazzleSpy skadelig programvare

En kraftig, fullverdig iOS- og macOS-bakdørstrussel kalt DazzleSpy ble utplassert i vannhullsangrep mot innbyggere i Honk Kong med pro-demokratiske tilbøyeligheter. Angrepene ble først lagt merke til av Google TAG, som informerte Apple om dem. For å spre trusselen om skadelig programvare opprettet nettkriminelle et falskt nettsted, som ble rapportert av Felix Aimé fra SEKOIA.IO. De kompromitterte også den offisielle radiostasjonens nettside til D100, en online, pro-demokratisk radio. Flere detaljer om trusselen, de potensielle angriperne og den ansatte infeksjonskjeden ble gjort tilgjengelig i en rapport fra forskere.

Ifølge funnene deres kan den tidligere ukjente bakdøren gjenkjenne en rekke forskjellige kommandoer fra operatørene og etablere en rekke invasive rutiner på de kompromitterte systemene. Avhengig av målene til angriperne, kan DazzleSpy eksfiltrere spesifikt valgte filer, telle opp kjørende prosesser, telle filer i Dekstop, Documents og Downloads-katalogene, utføre vilkårlige shell-kommandoer, manipulere filsystemet og mer. DazzleSpy, som navnet antyder, er også i stand til å spionere på offeret ved å logge musehendelser, samt starte eller avslutte eksterne økter. I tillegg utfører trusselen de nødvendige oppgavene for å misbruke CVE-2019-8526-sårbarheten.

C2 Kommunikasjon og attribusjon

Bakdøren sørger også for at ingen spionerer på kommunikasjonen med Command-and-Control-serveren (C2, C&C) for angrepet. For det første bruker DazzleSpy ende-til-ende-kryptering for meldingene sine. Separat setter trusselen inn en TLS-inspeksjonsproxy som står mellom de infiserte enhetene og C2-serveren. Hvis en ukjent enhet oppdages å avlytte, vil ikke DazzleSpy gjøre et kommunikasjonsforsøk.

Foreløpig er det ingen avgjørende ledetråde som etablerer den nettkriminelle gruppen som er ansvarlig for DazzleSpy-angrepene. Imidlertid kan arten av operasjonen og det faktum at infosec-forskerne fant flere interne meldinger på kinesisk være en pekepinn. Operasjonen viser også betydelige likheter med et vannhullsangrep som fant sted i 2020. Den gang ble den truende aktiviteten tilskrevet en APT-gruppe (Advanced Persistent Threat) sporet som TwoSail Junk. Hackerne målrettet Hong Kong-borgere med LightSpy iOS-malware som ble spredt gjennom iframe-injeksjonsteknikker på nettstedet.