DazzleSpy Malware

DazzleSpyという名前の強力で本格的なiOSおよびmacOSバックドアの脅威が、民主化に傾倒している香港市民に対する水飲み場型攻撃に配備されました。攻撃は、Appleにそれらについて通知したGoogleTAGによって最初に気づかれました。マルウェアの脅威を広めるために、サイバー犯罪者は偽のWebサイトを設定しました。これは、SEKOIA.IOのFelixAiméによって報告されました。彼らはまた、オンラインの民主化推進ラジオであるD100の公式ラジオ局のウェブサイトを危険にさらしました。脅威、潜在的な攻撃者、および採用された感染チェーンに関する詳細は、研究者によるレポートで利用可能になりました。

彼らの調査結果によると、これまで知られていなかったバックドアは、そのオペレーターからの多数の異なるコマンドを認識し、侵害されたシステム上に多数の侵入ルーチンを確立する可能性があります。攻撃者の目的に応じて、DazzleSpyは、特別に選択されたファイルの盗み出し、実行中のプロセスの列挙、Dekstop、Documents、およびDownloadsディレクトリ内のファイルの列挙、任意のシェルコマンドの実行、ファイルシステムの操作などを行うことができます。 DazzleSpyは、その名前が示すように、マウスイベントをログに記録したり、リモートセッションを開始または終了したりすることで、被害者をスパイすることもできます。さらに、脅威はCVE-2019-8526の脆弱性を悪用するために必要なタスクを実行します。

C2コミュニケーションと帰属

バックドアはまた、攻撃のコマンドアンドコントロール（C2、C＆C）サーバーとの通信をスパイしている人がいないことを確認します。まず、DazzleSpyはメッセージにエンドツーエンドの暗号化を利用します。これとは別に、脅威は、感染したデバイスとC2サーバーの間に立つTLS検査プロキシを挿入します。未知のエンティティが盗聴されたことが検出された場合、DazzleSpyは通信を試みません。

これまでのところ、DazzleSpy攻撃の責任を負うサイバー犯罪グループを確立する決定的なリードはありません。ただし、操作の性質とinfosecの研究者が中国語でいくつかの内部メッセージを見つけたという事実は、手がかりになる可能性があります。この操作は、2020年に発生した水飲み場型攻撃との重要な類似点も示しています。当時、脅威となる活動は、TwoSail Junkとして追跡されたAPT（Advanced Persistent Threat）グループに起因していました。ハッカーは、Webサイトのiframeインジェクション技術を介して伝播されたLightSpyiOSマルウェアで香港市民を標的にしました。