DazzleSpy Malware

Eine starke, vollwertige iOS- und macOS-Backdoor-Bedrohung namens DazzleSpy wurde bei Wasserlochangriffen gegen Bürger von Hongkong mit pro-demokratischen Neigungen eingesetzt. Die Angriffe wurden zuerst von Google TAG bemerkt, das Apple darüber informierte. Um die Malware-Bedrohung zu verbreiten, richteten die Cyberkriminellen eine gefälschte Website ein, die von Felix Aimé von SEKOIA.IO gemeldet wurde. Sie kompromittierten auch die offizielle Website des Radiosenders D100, einem demokratiefreundlichen Online-Radio. Weitere Details zur Bedrohung, den potenziellen Angreifern und der eingesetzten Infektionskette wurden in einem Bericht von Forschern zur Verfügung gestellt.

Demnach kann die bisher unbekannte Hintertür zahlreiche unterschiedliche Befehle ihrer Betreiber erkennen und zahlreiche Angriffsroutinen auf den kompromittierten Systemen aufbauen. Abhängig von den Zielen der Angreifer kann DazzleSpy speziell ausgewählte Dateien exfiltrieren, laufende Prozesse auflisten, Dateien in den Verzeichnissen Dekstop, Documents und Downloads auflisten, beliebige Shell-Befehle ausführen, das Dateisystem manipulieren und vieles mehr. DazzleSpy ist, wie der Name schon sagt, auch in der Lage, das Opfer auszuspionieren, indem es Mausereignisse protokolliert und Remote-Sitzungen startet oder beendet. Darüber hinaus führt die Bedrohung die notwendigen Aufgaben aus, um die Schwachstelle CVE-2019-8526 auszunutzen.

C2 Kommunikation und Zuschreibung

Die Hintertür stellt auch sicher, dass niemand ihre Kommunikation mit dem Command-and-Control-Server (C2, C&C) des Angriffs ausspioniert. Erstens verwendet DazzleSpy End-to-End-Verschlüsselung für seine Nachrichten. Unabhängig davon fügt die Bedrohung einen TLS-Inspektionsproxy ein, der zwischen den infizierten Geräten und dem C2-Server steht. Wenn eine unbekannte Entität zum Abhören erkannt wird, unternimmt DazzleSpy keinen Kommunikationsversuch.

Bisher gibt es keine schlüssigen Hinweise auf die für die DazzleSpy-Angriffe verantwortliche cyberkriminelle Gruppe. Die Art der Operation und die Tatsache, dass die Infosec-Forscher mehrere interne Nachrichten auf Chinesisch gefunden haben, könnten jedoch ein Hinweis sein. Die Operation weist auch erhebliche Ähnlichkeiten mit einem Watering-Hole-Angriff auf, der im Jahr 2020 stattfand. Damals wurde die Bedrohungsaktivität einer APT-Gruppe (Advanced Persistent Threat) zugeschrieben, die als TwoSail Junk getrackt wurde. Die Hacker zielten mit der LightSpy iOS-Malware auf Bürger Hongkongs ab, die über Iframe- Injektionstechniken von Websites verbreitet wurde.