DazzleSpy Malware
一個名為 DazzleSpy 的強大、成熟的 iOS 和 macOS 後門威脅被部署在針對具有民主傾向的香港公民的水坑攻擊中。 Google TAG 最先註意到了這些攻擊,並通知了 Apple。為了傳播惡意軟件威脅,網絡犯罪分子建立了一個虛假網站,該網站由 SEKOIA.IO 的 Felix Aimé 報導。他們還入侵了在線民主廣播電台 D100 的官方廣播電台網站。研究人員在一份報告中提供了有關威脅、潛在攻擊者和所使用的感染鏈的更多詳細信息。
根據他們的發現,以前未知的後門可以識別來自其操作員的許多不同命令,並在受感染的系統上建立許多侵入性程序。根據攻擊者的目標,DazzleSpy 可以洩露特定選擇的文件,枚舉正在運行的進程,枚舉 Dekstop、Documents 和 Downloads 目錄中的文件,執行任意 shell 命令,操縱文件系統等等。顧名思義,DazzleSpy 還能夠通過記錄鼠標事件以及啟動或結束遠程會話來監視受害者。此外,威脅執行必要的任務來濫用 CVE-2019-8526 漏洞。
C2 溝通和歸因
後門還確保沒有人監視它與攻擊的命令和控制(C2、C&C)服務器的通信。首先,DazzleSpy 對其消息使用端到端加密。另外,威脅會在受感染設備和 C2 服務器之間插入一個 TLS 檢查代理。如果檢測到未知實體進行竊聽,DazzleSpy 將不會進行通信嘗試。
到目前為止,還沒有確定的線索建立負責 DazzleSpy 攻擊的網絡犯罪組織。但是,該操作的性質以及信息安全研究人員發現幾條中文內部消息的事實可能是一個線索。該行動還與 2020 年發生的水坑攻擊有顯著相似之處。當時,威脅活動歸因於被跟踪為 TwoSail Junk 的 APT(高級持續威脅)組織。黑客使用通過網站 iframe 注入技術傳播的 LightSpy iOS 惡意軟件針對香港公民。
