DazzleSpy Malware

Ett kraftfullt, fullfjädrat iOS- och macOS-backdoor-hot vid namn DazzleSpy användes i vattenhålsattacker mot Honk Kong-medborgare med prodemokratiska inriktningar. Attackerna uppmärksammades först av Google TAG, som informerade Apple om dem. För att sprida skadlig programvara skapade cyberbrottslingarna en falsk webbplats, vilket rapporterades av Felix Aimé från SEKOIA.IO. De äventyrade också den officiella radiostationens webbplats för D100, en onlineradio för demokrati. Mer information om hotet, de potentiella angriparna och den använda infektionskedjan gjordes tillgängliga i en rapport från forskare.

Enligt deras upptäckter kan den tidigare okända bakdörren känna igen många olika kommandon från sina operatörer och etablera många invasiva rutiner på de komprometterade systemen. Beroende på angriparnas mål kan DazzleSpy exfiltrera specifikt valda filer, räkna upp pågående processer, räkna upp filer i katalogerna Dekstop, Documents och Downloads, exekvera godtyckliga skalkommandon, manipulera filsystemet och mer. DazzleSpy, som namnet antyder, kan också spionera på offret genom att logga mushändelser, samt starta eller avsluta fjärrsessioner. Dessutom utför hotet de nödvändiga uppgifterna för att missbruka sårbarheten CVE-2019-8526.

C2 Kommunikation och tillskrivning

Bakdörren ser också till att ingen spionerar på dess kommunikation med Command-and-Control-servern (C2, C&C) för attacken. För det första använder DazzleSpy end-to-end-kryptering för sina meddelanden. Separat infogar hotet en TLS-inspektionsproxy som står mellan de infekterade enheterna och C2-servern. Om en okänd enhet upptäcks för att avlyssna, kommer DazzleSpy inte att göra ett kommunikationsförsök.

Än så länge finns det inga avgörande ledtrådar som etablerar den cyberkriminella grupp som är ansvarig för DazzleSpy-attackerna. Men operationens karaktär och det faktum att infosec-forskarna hittade flera interna meddelanden på kinesiska kan vara en ledtråd. Operationen uppvisar också betydande likheter med en vattenhålsattack som ägde rum 2020. Då tillskrevs den hotfulla aktiviteten till en APT-grupp (Advanced Persistent Threat) som spårades som TwoSail Junk. Hackarna riktade in sig på Hongkongs medborgare med LightSpy iOS malware som spreds genom iframe-injektionstekniker på webbplatsen.