DazzleSpy Malware
一个名为 DazzleSpy 的强大、成熟的 iOS 和 macOS 后门威胁被部署在针对具有民主倾向的香港公民的水坑攻击中。谷歌 TAG 最先注意到了这些攻击,并通知了苹果公司。为了传播恶意软件威胁,网络犯罪分子建立了一个虚假网站,该网站由 SEKOIA.IO 的 Felix Aimé 报道。他们还入侵了在线民主广播电台 D100 的官方广播电台网站。研究人员在一份报告中提供了有关威胁、潜在攻击者和所使用的感染链的更多详细信息。
根据他们的发现,以前未知的后门可以识别来自其操作员的许多不同命令,并在受感染的系统上建立许多侵入性程序。根据攻击者的目标,DazzleSpy 可以泄露特定选择的文件,枚举正在运行的进程,枚举 Dekstop、Documents 和 Downloads 目录中的文件,执行任意 shell 命令,操纵文件系统等等。顾名思义,DazzleSpy 还能够通过记录鼠标事件以及启动或结束远程会话来监视受害者。此外,威胁执行必要的任务来滥用 CVE-2019-8526 漏洞。
C2 沟通和归因
后门还确保没有人监视其与攻击的命令和控制(C2、C&C)服务器的通信。首先,DazzleSpy 对其消息使用端到端加密。另外,威胁会在受感染设备和 C2 服务器之间插入一个 TLS 检查代理。如果检测到未知实体进行窃听,DazzleSpy 将不会进行通信尝试。
到目前为止,还没有确定的线索建立负责 DazzleSpy 攻击的网络犯罪组织。但是,该操作的性质以及信息安全研究人员发现了几条中文内部消息的事实可能是一个线索。该行动还与 2020 年发生的水坑攻击有显着相似之处。当时,威胁活动归因于被跟踪为 TwoSail Junk 的 APT(高级持续威胁)组织。黑客使用通过网站 iframe 注入技术传播的 LightSpy iOS 恶意软件针对香港公民。
