DazzleSpy Malware

Potężne, w pełni rozwinięte zagrożenie backdoorem dla systemów iOS i macOS o nazwie DazzleSpy zostało wdrożone w atakach wodopoju na obywateli Honk Kongu o skłonnościach prodemokratycznych. Ataki jako pierwsze zostały zauważone przez Google TAG, który poinformował o nich Apple. Aby rozprzestrzenić zagrożenie złośliwym oprogramowaniem, cyberprzestępcy utworzyli fałszywą stronę internetową, o której poinformował Felix Aimé z SEKOIA.IO. Włamali się również na oficjalną stronę internetową stacji radiowej D100, internetowego radia prodemokratycznego. Więcej szczegółów na temat zagrożenia, potencjalnych napastników i zastosowanego łańcucha infekcji zostało udostępnionych w raporcie opracowanym przez badaczy.

Zgodnie z ich ustaleniami, wcześniej nieznany backdoor może rozpoznawać wiele różnych poleceń od swoich operatorów i wprowadzać liczne procedury inwazyjne w zaatakowanych systemach. W zależności od celów atakujących, DazzleSpy może eksfiltrować specjalnie wybrane pliki, wyliczyć uruchomione procesy, wyliczyć pliki w katalogach Dekstop, Documents i Downloads, wykonać dowolne polecenia powłoki, manipulować systemem plików i nie tylko. DazzleSpy, jak sama nazwa wskazuje, jest również zdolny do szpiegowania ofiary poprzez rejestrowanie zdarzeń myszy, a także rozpoczynanie lub kończenie sesji zdalnych. Ponadto zagrożenie wykonuje zadania niezbędne do wykorzystania luki CVE-2019-8526.

C2 Komunikacja i atrybucja

Backdoor zapewnia również, że nikt nie szpieguje jego komunikacji z serwerem Command-and-Control (C2, C&C) ataku. Po pierwsze, DazzleSpy wykorzystuje kompleksowe szyfrowanie swoich wiadomości. Osobno zagrożenie wstawia serwer proxy kontroli TLS, który znajduje się między zainfekowanymi urządzeniami a serwerem C2. Jeśli nieznany podmiot zostanie wykryty do podsłuchiwania, DazzleSpy nie podejmie próby komunikacji.

Jak dotąd nie ma jednoznacznych wskazówek dotyczących utworzenia grupy cyberprzestępczej odpowiedzialnej za ataki DazzleSpy. Wskazówką może być jednak charakter operacji i fakt, że badacze infosec znaleźli kilka wewnętrznych wiadomości w języku chińskim. Operacja wykazuje również znaczące podobieństwa do ataku na wodopoju, który miał miejsce w 2020 r. W tamtym czasie groźną aktywność przypisywano grupie APT (Advanced Persistent Threat) śledzonej jako śmieci TwoSail. Hakerzy zaatakowali obywateli Hongkongu za pomocą szkodliwego oprogramowania LightSpy iOS, które rozprzestrzeniało się za pomocą technik wstrzykiwania iframe na stronach internetowych.