DazzleSpy Malware

DazzleSpy adlı güçlü, tam teşekküllü bir iOS ve macOS arka kapı tehdidi, demokrasi yanlısı eğilimlere sahip Honk Kong vatandaşlarına yönelik çığır açan saldırılarda kullanıldı. Saldırılar ilk olarak Apple'ı bu konuda bilgilendiren Google TAG tarafından fark edildi. Kötü amaçlı yazılım tehdidini yaymak için siber suçlular, SEKOIA.IO'dan Felix Aimé tarafından bildirilen sahte bir web sitesi kurdu. Ayrıca çevrimiçi, demokrasi yanlısı bir radyo olan D100'ün resmi radyo istasyonu web sitesini de tehlikeye attılar. Tehdit, potansiyel saldırganlar ve kullanılan enfeksiyon zinciri hakkında daha fazla ayrıntı, araştırmacılar tarafından bir raporda sunuldu.

Bulgularına göre, daha önce bilinmeyen arka kapı, operatörlerinden gelen çok sayıda farklı komutu tanıyabilir ve güvenliği ihlal edilmiş sistemler üzerinde çok sayıda istilacı rutin oluşturabilir. Saldırganların amaçlarına bağlı olarak, DazzleSpy özel olarak seçilmiş dosyaları sızdırabilir, çalışan süreçleri numaralandırabilir, Dekstop, Documents ve Downloads dizinlerindeki dosyaları numaralandırabilir, rastgele kabuk komutları yürütebilir, dosya sistemini değiştirebilir ve daha fazlasını yapabilir. DazzleSpy, adından da anlaşılacağı gibi, fare olaylarını kaydederek ve uzak oturumları başlatarak veya sonlandırarak kurban üzerinde casusluk yapabilir. Ayrıca tehdit, CVE-2019-8526 güvenlik açığını kötüye kullanmak için gerekli görevleri yerine getirir.

C2 İletişim ve Atıf

Arka kapı ayrıca kimsenin saldırının Komuta ve Kontrol (C2, C&C) sunucusuyla iletişimini gözetlememesini sağlar. İlk olarak, DazzleSpy mesajları için uçtan uca şifreleme kullanır. Ayrı olarak, tehdit, virüslü cihazlar ile C2 sunucusu arasında duran bir TLS denetleme proxy'si ekler. Bilinmeyen bir varlığın gizlice dinlediği tespit edilirse, DazzleSpy bir iletişim girişiminde bulunmaz.

Şimdiye kadar, DazzleSpy saldırılarından sorumlu siber suçlu grubunu oluşturan kesin bir ipucu yok. Bununla birlikte, operasyonun doğası ve bilgi güvenliği araştırmacılarının Çince'de birkaç dahili mesaj bulması bir ipucu olabilir. Operasyon ayrıca 2020'de meydana gelen bir su birikintisi saldırısıyla önemli benzerlikler sergiliyor. O zamanlar tehdit edici faaliyet, TwoSail Junk olarak izlenen bir APT (Gelişmiş Kalıcı Tehdit) grubuna atfedildi. Bilgisayar korsanları, web sitesi iframe enjeksiyon teknikleri aracılığıyla yayılan LightSpy iOS kötü amaçlı yazılımıyla Hong Kong vatandaşlarını hedef aldı.