Niedawno zaobserwowano i opisano cyber-kampanię skierowaną na cele w Hongkongu. Wykorzystała ona co najmniej dwa rodzaje złośliwego oprogramowania przeznaczonego do atakowania systemów macOS. Na tym przykładzie widzimy, że urządzenia od Apple, kiedyś uważana za najbezpieczniejsze, stają się coraz częściej celem hackerów.
Informacja o kampanii dotarła do publicznej wiadomości w listopadzie 2021 r. Wtedy to Google udostępnił szczegółowe informacje o ataku, w którym złośliwe oprogramowanie dla systemu macOS zostało dostarczone użytkownikom w Hongkongu za pośrednictwem zhackowanych „prodemokratycznych” witryn, które służyły jako wektor ataku.
Według Google, atak wykryty pod koniec sierpnia został prawdopodobnie przeprowadzony przez dobrze wyposażoną, finansowaną przez państwo grupę.
Osoby atakujące wykorzystały zarówno exploity iOS, jak i macOS. Exploit macOS zawierał lukę w zabezpieczeniach WebKit, która została załatana przez Apple w styczniu 2021 r. (CVE-2021-1789) oraz lukę w eskalacji uprawnień, którą Apple załatał we wrześniu, mniej więcej miesiąc po tym, jak analitycy bezpieczeństwa Google wykryli atak.
Google powiedział w tym czasie, że jednym z ładunków dostarczonych przez atakujących było złośliwe oprogramowanie o nazwach MACMA i CDDS, które mogło przechwytywać naciśnięcia klawiszy, robić zrzuty ekranu, przesyłać i pobierać pliki, wykonywać polecenia terminala i nagrywać dźwięk.
ESET również monitorował tą kampanię i odkrył, że zhackowana witryna stacji radiowej w Hongkongu zawierała inny szkodliwy program, który firma zajmująca się cyberbezpieczeństwem nazwała DazzleSpy.
To złośliwe oprogramowanie może zbierać informacje o zaatakowanym systemie, enumerować pliki w określonych folderach, wyszukiwać konkretne pliki, wykonywać polecenia powłoki, wyliczać procesy, zrzucać pęk kluczy przy użyciu starej luki, eksfiltrować pliki, zapisywać pliki na dysku i uruchamiać zdalną sesje ekranową. Ponadto jego twórcy najwyraźniej pracują nad rozszerzeniem funkcjonalności.
Inny godny uwagi aspekt jest związany z komunikacją C&C. To złośliwe oprogramowanie dla systemu macOS wymusza szyfrowanie typu end-to-end i nie będzie komunikować się ze swoim serwerem C&C, jeśli ktoś spróbuje podsłuchiwać, wstawiając serwer TLS proxy między serwerem C&C a zaatakowanym systemem.
Niektóre ciągi znaków znalezione w kodzie DazzleSpy sugerują, że nazwa wewnętrzna przypisana przez jego twórców może brzmieć „osxrk”.
„Wygląda na to, że autorzy DazzleSpy nie byli tak zaniepokojeni bezpieczeństwem operacyjnym, ponieważ pozostawili nazwę użytkownika w ścieżkach osadzonych w pliku binarnym” – powiedział ESET.
Chociaż operacji nie przypisano żadnemu znanemu podmiotowi, wiadomo, że Chiny przeprowadzają tego typu ataki na użytkowników w Hongkongu.
ESET zauważył, że złośliwe oprogramowanie zawiera wiadomości wewnętrzne napisane w języku chińskim i konwertuje datę uzyskaną z zaatakowanego urządzenia na czas chiński standardowy.
Zwrócił również uwagę, że istnieją pewne podobieństwa do kampanii z 2020 r., która obejmowała złośliwe oprogramowanie iOS o nazwie LightSpy, ale specjaliści nie byli w stanie potwierdzić, że obie kampanie zostały uruchomione przez tę samą grupę.
Wybrany post: DazzleSpy nowy malware na macOS
