Zlonamerna programska oprema DazzleSpy

Močna, polnopravna grožnja za zakulisje iOS in macOS, imenovana DazzleSpy, je bila uporabljena v napadih na državljane Honk Konga, ki so nagnjeni k demokraciji. Napade je prvi opazil Google TAG, ki je o njih obvestil Apple. Za širjenje grožnje zlonamerne programske opreme so kibernetski kriminalci vzpostavili ponarejeno spletno mesto, o čemer je poročal Felix Aimé iz SEKOIA.IO. Ogrozili so tudi uradno spletno stran radijske postaje D100, spletnega prodemokratskega radia. Več podrobnosti o grožnji, možnih napadalcih in zaposleni verigi okužb je bilo na voljo v poročilu raziskovalcev.

Po njihovih ugotovitvah lahko prej neznano backdoor prepozna številne različne ukaze svojih operaterjev in vzpostavi številne invazivne rutine na ogroženih sistemih. Glede na cilje napadalcev lahko DazzleSpy ekstrahira posebej izbrane datoteke, našteje tekoče procese, našteje datoteke v imenikih Dekstop, Dokumenti in Prenosi, izvaja poljubne ukaze lupine, manipulira z datotečnim sistemom in še več. DazzleSpy, kot že ime pove, je sposoben tudi vohuniti za žrtev tako, da beleži dogodke miške, pa tudi zažene ali konča oddaljene seje. Poleg tega grožnja izvaja potrebne naloge za zlorabo ranljivosti CVE-2019-8526.

C2 Komunikacija in pripisovanje

Zaledna vrata tudi zagotavljajo, da nihče ne vohuni za njegovo komunikacijo s strežnikom za upravljanje in nadzor (C2, C&C) napada. Prvič, DazzleSpy za svoja sporočila uporablja šifriranje od konca do konca. Ločeno grožnja vstavi proxy za pregled TLS, ki stoji med okuženimi napravami in strežnikom C2. Če je zaznano, da neznana entiteta prisluškova, DazzleSpy ne bo poskusil komunikacije.

Zaenkrat ni nobenih dokončnih sledi, ki bi ugotavljale kibernetiko kriminalno skupino, odgovorno za napade DazzleSpy. Vendar pa je narava operacije in dejstvo, da so raziskovalci infoseca odkrili več notranjih sporočil v kitajščini, morda namig. Operacija je prav tako zelo podobna napadu na zalivanje, ki se je zgodil leta 2020. Takrat je bila grozeča dejavnost pripisana skupini APT (Advanced Persistent Threat), ki ji je sledilo kot TwoSail Junk. Hekerji so ciljali na državljane Hongkonga z zlonamerno programsko opremo LightSpy iOS, ki se je širila s tehnikami vbrizgavanja iframe spletnega mesta.