DazzleSpy Malware

Një kërcënim i fuqishëm, i plotë për iOS dhe macOS, i quajtur DazzleSpy, u përdor në sulme të ashpra kundër qytetarëve të Honk Kongut me prirje pro-demokracisë. Sulmet fillimisht u vunë re nga Google TAG, i cili informoi Apple për to. Për të përhapur kërcënimin e malware, kriminelët kibernetikë krijuan një faqe interneti të rreme, e cila u raportua nga Felix Aimé nga SEKOIA.IO. Ata komprometuan gjithashtu faqen zyrtare të stacionit radiofonik të D100, një radio në internet pro-demokracisë. Më shumë detaje rreth kërcënimit, sulmuesve të mundshëm dhe zinxhirit të infeksionit të punësuar u bënë të disponueshme në një raport nga studiuesit.

Sipas gjetjeve të tyre, porta e pasme e panjohur më parë mund të njohë shumë komanda të ndryshme nga operatorët e saj dhe të krijojë rutina të shumta pushtuese në sistemet e komprometuara. Në varësi të qëllimeve të sulmuesve, DazzleSpy mund të eksfiltrojë skedarë të zgjedhur posaçërisht, të numërojë proceset e ekzekutimit, të numërojë skedarët në drejtoritë Dekstop, Dokumentet dhe Shkarkimet, të ekzekutojë komanda arbitrare të guaskës, të manipulojë sistemin e skedarëve dhe më shumë. DazzleSpy, siç sugjeron emri i tij, është gjithashtu i aftë të spiunojë viktimën duke regjistruar ngjarjet e miut, si dhe duke filluar ose përfunduar seancat në distancë. Për më tepër, kërcënimi kryen detyrat e nevojshme për të abuzuar me cenueshmërinë CVE-2019-8526.

C2 Komunikimi dhe Atribuimi

Backdoor gjithashtu siguron që askush të mos spiunojë komunikimin e tij me serverin Command-and-Control (C2, C&C) të sulmit. Së pari, DazzleSpy përdor kriptim nga fundi në fund për mesazhet e tij. Më vete, kërcënimi fut një përfaqësues të inspektimit TLS që qëndron midis pajisjeve të infektuara dhe serverit C2. Nëse zbulohet një ent i panjohur për të përgjuar, DazzleSpy nuk do të bëjë një përpjekje komunikimi.

Deri më tani, nuk ka të dhëna përfundimtare për krijimin e grupit kriminal kibernetik përgjegjës për sulmet e DazzleSpy. Megjithatë, natyra e operacionit dhe fakti që studiuesit e infosec gjetën disa mesazhe të brendshme në gjuhën kineze mund të jenë një e dhënë. Operacioni shfaq gjithashtu ngjashmëri të konsiderueshme me një sulm me vrima uji që ndodhi në vitin 2020. Në atë kohë, aktiviteti kërcënues i atribuohej një grupi APT (Kërcënimi i Përparuar i Përparuar) i gjurmuar si TwoSail Junk. Hakerët shënjestruan qytetarët e Hong Kongut me malware-in LightSpy iOS që u përhap përmes teknikave të injektimit të faqes në internet iframe.