Вредоносное ПО DazzleSpy

Мощная, полноценная бэкдор-угроза для iOS и macOS под названием DazzleSpy была развернута в атаках водопоя против граждан Гонконга с продемократическими наклонностями. Атаки были впервые замечены Google TAG, который сообщил о них Apple. Для распространения вредоносного ПО киберпреступники создали поддельный веб-сайт, о чем сообщил Феликс Эме из SEKOIA.IO. Они также скомпрометировали официальный веб-сайт радиостанции D100, продемократического онлайн-радио. Более подробная информация об угрозе, потенциальных злоумышленниках и используемой цепочке заражения была доступна в отчете исследователей.

Согласно их выводам, ранее неизвестный бэкдор может распознавать множество различных команд от своих операторов и устанавливать множество инвазивных процедур на скомпрометированных системах. В зависимости от целей злоумышленников DazzleSpy может извлекать специально выбранные файлы, перечислять запущенные процессы, перечислять файлы в каталогах «Рабочий стол», «Документы» и «Загрузки», выполнять произвольные команды оболочки, манипулировать файловой системой и многое другое. DazzleSpy, как следует из названия, также может шпионить за жертвой, регистрируя события мыши, а также запуская или завершая удаленные сеансы. Кроме того, угроза выполняет необходимые задачи по использованию уязвимости CVE-2019-8526.

C2 Коммуникация и атрибуция

Бэкдор также следит за тем, чтобы никто не отслеживал его связь с сервером Command-and-Control (C2, C&C) атаки. Во-первых, DazzleSpy использует для своих сообщений сквозное шифрование. Отдельно угроза вставляет прокси-сервер для проверки TLS, который стоит между зараженными устройствами и сервером C2. Если обнаружена неизвестная сущность для прослушивания, DazzleSpy не будет пытаться установить связь.

Пока нет убедительных версий, устанавливающих группу киберпреступников, ответственных за атаки DazzleSpy. Однако характер операции и тот факт, что исследователи информационной безопасности обнаружили несколько внутренних сообщений на китайском языке, могут быть подсказкой. Операция также имеет значительное сходство с атакой на водопой, которая произошла в 2020 году. Тогда угрожающая активность была приписана группе APT (Advanced Persistent Threat), отслеживаемой как TwoSail Junk. Хакеры атаковали граждан Гонконга с помощью вредоносного ПО LightSpy для iOS, которое распространялось с помощью методов внедрения iframe на веб-сайты.