Skrevet af Charlie Osborne, bidragyder Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 26. januar 2022 | Emne: Sikkerhed
Forskere har afsløret en ny stamme af macOS-malware i målrettede angreb mod besøgende på en Hongkong-pro-demokratisk radiostations hjemmeside.
Webstedet blev brugt til at lette et vandhulsangreb og til at betjene en Safari-browserudnyttelse til besøgende, hvilket førte til implementering og eksekvering af spyware på ofrets maskiner.
Kaldet DazzleSpy af ESET-forskere, malwaren er en bagdør til at udføre overvågning på en inficeret Mac.
ESETs undersøgelse følger tidligere undersøgelser udført af Googles sikkerhedsteam for trusselanalysegruppe (TAG). Den 11. november 2021 sagde TAG, at vandhulsangreb var blevet opdaget på et medie og en pro-demokratisk politisk hjemmeside rettet mod indbyggere i Hongkong.
Dette angreb brugte en XNU-privilegieeskaleringssårbarhed i macOS Catalina, hvilket førte til eksekvering af bagdør-malwaren.
Nu sporet som CVE-2021-30869, er typeforvirringen zero-day-fejlen nu blevet rettet af Apple.
“Baseret på vores resultater mener vi, at denne trusselsaktør er en gruppe med gode ressourcer, sandsynligvis statsstøttet, med adgang til deres eget softwareingeniørteam baseret på kvaliteten af nyttelastkoden,” Google sagde TAG.
ESET har nu givet en oversigt over yderligere anvendte angrebsvektorer og selve udnyttelsen.
Den legitime pro-demokratiske online radiostation D100 blev kompromitteret til at betjene nyttelasten via en iframe mellem den 30. september og den 4. november 2021. Derudover leverede falske 'befri Hong Kong'-websteder også malwaren.
“Begge distributionsmetoder har noget til fælles: de tiltrækker besøgende fra Hongkong med pro-demokratiske sympatier,” siger ESET. “Det ser ud til, at de var det primære mål for denne trussel.”
Angrebskæden begynder med at køre et script, der kontrollerer, hvilken version af macOS der er installeret. JavaScript, der indeholder udnyttelseskode, mac.js, er implementeret for at udløse WebKit-motorfejlen. (Selvom de tekniske detaljer er sparsomme, bekræftede forskerne, at Apples patch nu løser CVE-2021-30869.)
Det ser ud til, at udnyttelsen bruges til at opnå læse- og skriveadgang til hukommelse, hvor objektadresselækker og evnen til at skabe falske JavaScript-objekter er det overordnede mål. Det næste trin kræver, at en Mach-O-eksekverbar fil indlæses i hukommelsen og for at opnå kodeeksekvering gennem en lokal privilegie-eskaleringssvaghed, så den kan køre som root og udføre den næste nyttelast.
I ESET's stikprøve adskiller nyttelasten sig fra TAG's resultater. Den nye DazzleSpy macOS-malware har en række funktioner, herunder indsamling af macOS-data såsom hardware-UUID'er og serienumre, udpakning af Wi-FI SSID'er, download af brugerfiler på den inficerede maskine, optælling af filer i mapper Desktop, Downloads og Dokumenter, start af fjernsessioner , og udfører shell-kommandoer.
ESET siger, at malwaren også vil se, om det er muligt at drage fordel af CVE-2019-8526, en kritisk sårbarhed rettet i macOS Mojave 10.14.4. Hvis macOS-versionen er under 10.14.4, bliver nøgleringsoplysninger stjålet.
Når den først er tilsluttet en C2, ser sikker kommunikation ud til at have høj prioritet.
“I praksis bruges det samme selvsignerede certifikat til både CA'en og C&C-serveren,” siger forskerne. “Teknikken beskytter malwarens kommunikation mod potentiel aflytning ved at nægte at sende data, hvis ende-til-ende-kryptering ikke er mulig.”
Cybersikkerhedsforskerne siger også, at det anvendte vandhulsangreb har ligheder med implementeringen af LightSpy-implantatet. Kaspersky sagde i 2020, at malwaren dukkede op på websteder rettet mod indbyggere i Hong Kong. Cybersikkerhedsfirmaet navngav midlertidigt gruppen med avanceret vedvarende trussel (APT), som menes at være ansvarlig, som TwoSail Junk.
Trend Micro har også offentliggjort forskning (.PDF) om trusselsaktørens mobile aktiviteter.
“Vi kan ikke bekræfte på nuværende tidspunkt, om begge kampagner er fra samme gruppe,” bemærkede ESET.
Tidligere og relateret dækning
Kinesisk APT implementerer MoonBounce-implantat i UEFI-firmware
Forskere nedbryder WhisperGate wiper-malware, der blev brugt i Ukraines webstedsdefacement
Ransomware i 2022: Vi er alle sammen i stykker< br>
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre