Charlie Osborne Contributor
Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 26 januari 2022 | Ämne: Säkerhet
Forskare har avslöjat en ny stam av macOS-skadlig programvara i riktade attacker mot besökare på en Hongkong-prodemokratisk radiostationswebbplats.
Webbplatsen användes för att underlätta en vattenhålsattack och för att servera en Safari-webbläsare för besökare, vilket ledde till distribution och exekvering av spionprogram på offermaskiner.
Skadlig programvara, kallad DazzleSpy av ESET-forskare, är en bakdörr för att utföra övervakning på en infekterad Mac.
ESETs undersökning följer tidigare forskning som utförts av Googles säkerhetsteam för hotanalysgrupp (TAG). Den 11 november 2021 sa TAG att vattenhålsattacker hade upptäckts på en media och en pro-demokratisk politisk webbplats riktad mot Hongkongs invånare.
Denna attack utnyttjade en XNU-privilegieskaleringssårbarhet i macOS Catalina, vilket ledde till exekvering av bakdörrens skadliga program.
Nu spåras som CVE-2021-30869, typförvirringen zero-day-fel har nu korrigerats av Apple.
“Baserat på våra resultat tror vi att den här hotaktören är en grupp med goda resurser, sannolikt statsstödd, med tillgång till sitt eget mjukvaruteknikteam baserat på kvaliteten på nyttolastkoden,” Google sa TAG.
ESET har nu tillhandahållit en uppdelning av ytterligare attackvektorer som används och själva exploateringen.
Den legitima pro-demokratiska onlineradiostationen D100 komprometterades för att betjäna nyttolasten via en iframe mellan 30 september och 4 november 2021. Dessutom levererade falska “befria Hong Kong”-webbplatser också skadlig programvara.
“Båda distributionsmetoderna har något gemensamt: de lockar besökare från Hongkong med prodemokratiska sympatier”, säger ESET. “Det verkar som att de var det primära målet för detta hot.”
Attackkedjan börjar med att köra ett skript som kontrollerar vilken version av macOS som är installerad. JavaScript som innehåller exploateringskod, mac.js, distribueras för att utlösa WebKit-motorfelet. (Även om tekniska detaljer är få, bekräftade forskarna att Apples patch nu löser CVE-2021-30869.)
Det verkar som att exploateringen används för att erhålla minnesläs- och skrivåtkomst, med objektadressläckor och möjligheten att skapa falska JavaScript-objekt som det övergripande målet. Nästa steg kräver att en Mach-O körbar laddas in i minnet och för att uppnå kodexekvering genom en lokal privilegieskaleringssvaghet, vilket gör att den kan köras som root och exekvera nästa nyttolast.
I ESETs exempel skiljer sig nyttolasten från TAG:s resultat. Den nya DazzleSpy macOS skadlig programvara har en rad funktioner, inklusive att samla in macOS-data som hårdvaru-UUID och serienummer, extrahera Wi-FI SSID, ladda ner användarfiler på den infekterade maskinen, räkna upp filer i mappen Desktop, Downloads och Documents, starta fjärrsessioner , och exekvera skalkommandon.
ESET säger att skadlig programvara också kommer att se om det är möjligt att dra nytta av CVE-2019-8526, en kritisk sårbarhet fixad i macOS Mojave 10.14.4. Om macOS-versionen är lägre än 10.14.4, stjäls nyckelringsinformation.
När den väl har anslutit till en C2 verkar säker kommunikation ha hög prioritet.
“I praktiken används samma självsignerade certifikat för både CA och C&C-servern”, säger forskarna. “Tekniken skyddar skadlig programvaras kommunikation från potentiell avlyssning genom att vägra skicka data om end-to-end-kryptering inte är möjlig.”
Cybersäkerhetsforskarna säger också att vattenhålsattacken som används har likheter med installationen av LightSpy-implantatet. Kaspersky sa 2020 att skadlig programvara dök upp på webbplatser riktade mot invånare i Hongkong. Cybersäkerhetsföretaget utnämnde tillfälligt gruppen APT (avancerat persistent hot) som anses vara ansvarig som TwoSail Junk.
Trend Micro har även publicerat forskning (.PDF) om hotaktörens mobila aktiviteter.
“Vi kan inte bekräfta i nuläget om båda kampanjerna är från samma grupp,” noterade ESET.
Tidigare och relaterad täckning
Kinesiska APT distribuerar MoonBounce-implantat i UEFI-firmware
Forskare bryter ner WhisperGate wiper-skadlig programvara som används i Ukrainas webbplatsdefacering
Ransomware 2022: Vi är alla skruvade< br>
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter