DazzleSpy Malware

Een krachtige, volwaardige iOS- en macOS-achterdeurbedreiging, DazzleSpy genaamd, werd ingezet bij watering-hole-aanvallen tegen inwoners van Honk Kong met pro-democratische neigingen. De aanvallen werden voor het eerst opgemerkt door Google TAG, die Apple hierover informeerde. Om de malware-dreiging te verspreiden, hebben de cybercriminelen een nepwebsite opgezet, wat werd gemeld door Felix Aimé van SEKOIA.IO. Ze hebben ook de officiële website van het radiostation van D100, een online, pro-democratische radio, gecompromitteerd. Meer details over de dreiging, de potentiële aanvallers en de gebruikte infectieketen zijn beschikbaar gesteld in een rapport van onderzoekers.

Volgens hun bevindingen kan de voorheen onbekende achterdeur talloze verschillende commando's van zijn operators herkennen en talloze invasieve routines instellen op de aangetaste systemen. Afhankelijk van de doelen van de aanvallers, kan DazzleSpy specifiek gekozen bestanden exfiltreren, lopende processen opsommen, bestanden opsommen in de mappen Dekstop, Documenten en Downloads, willekeurige shell-opdrachten uitvoeren, het bestandssysteem manipuleren en meer. DazzleSpy is, zoals de naam al doet vermoeden, ook in staat om het slachtoffer te bespioneren door muisgebeurtenissen te loggen en om sessies op afstand te starten of te beëindigen. Daarnaast voert de dreiging de nodige taken uit om misbruik te maken van de CVE-2019-8526 kwetsbaarheid.

C2 Communicatie en Attributie

De achterdeur zorgt er ook voor dat niemand de communicatie met de Command-and-Control (C2, C&C) server van de aanval bespioneert. Ten eerste gebruikt DazzleSpy end-to-end-codering voor zijn berichten. Afzonderlijk voegt de dreiging een TLS-inspectieproxy in die tussen de geïnfecteerde apparaten en de C2-server staat. Als een onbekende entiteit wordt gedetecteerd om af te luisteren, zal DazzleSpy geen communicatiepoging ondernemen.

Tot nu toe zijn er geen overtuigende aanwijzingen over de cybercriminele groep die verantwoordelijk is voor de DazzleSpy-aanvallen. De aard van de operatie en het feit dat de infosec-onderzoekers verschillende interne berichten in het Chinees vonden, kunnen echter een aanwijzing zijn. De operatie vertoont ook significante overeenkomsten met een watering-hole-aanval die plaatsvond in 2020. Destijds werd de bedreigende activiteit toegeschreven aan een APT-groep (Advanced Persistent Threat), gevolgd als TwoSail Junk. De hackers richtten zich op Hong Kong-burgers met de LightSpy iOS-malware die werd verspreid via iframe-injectietechnieken op websites.