Новое вредоносное ПО DazzleSpy нацелено на пользователей macOS в рамках атаки «водопой»

2
Доступный, качественный ремонт ноутбуков на дому или в сервисном центре

Обнаружена новая атака на водопой, нацеленная на пользователей macOS и посетителей веб-сайта продемократической радиостанции в Гонконге и заражающая их вредоносным ПО DazzleSpy.

Как подробно рассказали исследователи из ESET, расследовавшие эту кампанию, это часть той же операции, о которой Google Project Zero раскрыл две недели назад , в ходе которой использовались Chrome и Windows нулевого дня для взлома устройств Windows и Android.

Вместо этого отчет ESET фокусируется на использовании уязвимости WebKit в веб-браузере Safari, по существу добавляя последний элемент головоломки и подтверждая, что кампания нацелена на все основные платформы.

Атаки типа Watering Hole включают заражение законного веб-сайта вредоносным ПО, нацеленным на демографические данные этого сайта и, в некоторых случаях, только на определенные IP-адреса.

Ориентация на активистов

Основываясь на веб-сайтах, используемых для распространения эксплойтов, кампания нацелена на защитников свободы слова, независимости и политических активистов.

Центральная китайская администрация в последние годы ограничивала политические права и особые привилегии граждан Гонконга, и было много обвинений в шпионаже за активистами .

Это не первый раз, когда китайское государство обвиняют в проведении агрессивной слежки за меньшинствами с использованием вредоносного ПО, развернутого посредством атак на водопой.

В этом случае одним из веб-сайтов, которые сбрасывали эксплойты ничего не подозревающим жертвам, является интернет-радио D100, продемократическая станция, которая поощряет антипекинские настроения.

Другой пример — поддельный веб-сайт, который пытался заманить активистов движения за освобождение с помощью домена fightforhk[.]com, который был зарегистрирован только в октябре 2021 года.

Цепочка эксплойтов macOS

Оба этих веб-сайта, а возможно, и другие, содержат вредоносный iframe, который указывает на домен, который проверяет версию macOS и перенаправляет на следующий этап, который загружает код JavaScript эксплойта.

Эксплойт нацелен на CVE-2021-1789, уязвимость выполнения произвольного кода, срабатывающую при обработке веб-контента и затрагивающую версии Safari ниже 14.1.

«Эксплойт основан на побочном эффекте, вызванном изменением свойства объекта, чтобы оно было доступно через функцию «получатель», при перечислении свойств объекта в коде, скомпилированном JIT», — поясняется в отчете ESET.

«Движок JavaScript ошибочно предполагает, что значение свойства кэшируется в массиве и не является результатом вызова функции-получателя».

Эксплойт реализует два примитива («addrof» и «fakeobj») для получения доступа к памяти для чтения и записи, а также содержит код, который помогает обходить меры по снижению риска, такие как «Gigacage», и загружает следующий этап.

Следующим шагом является повышение привилегий до root, которое происходит через файл Mach-O, загружаемый в память и выполняемый.

Для повышения привилегий используется уязвимость CVE-2021-30869, которая позволяет приложению выполнять произвольный код с привилегиями ядра.

Таким образом, выполненный Mach-O делает следующее:

  • Загружает файл с URL-адреса, указанного в качестве аргумента
  • Расшифровывает этот файл с помощью AES-128-EBC и TEA с пользовательской дельтой.
  • Записывает полученный файл в $TMPDIR/airportpaird и делает его исполняемым.
  • Использует эксплойт повышения привилегий для удаления атрибута com.apple.quarantine из файла, чтобы не запрашивать у пользователя подтверждение запуска неподписанного исполняемого файла.
  • Использует такое же повышение привилегий для запуска следующего этапа с привилегиями root.

DazzleШпион

Последним шагом в этом процессе является удаление DazzleSpy, многофункционального бэкдора, который включает в себя широкий спектр вредоносных возможностей.

DazzleSpy обеспечивает постоянство в скомпрометированной системе, добавляя новый файл списка свойств в папку «LaunchAgents». Его исполняемый файл скрывается в $HOME/.local/ под вводящим в заблуждение именем «softwareupdate».

Зловред имеет жестко запрограммированный адрес сервера C2 и может принимать от него несколько команд, наиболее важными из которых являются:

  • информация — сбор системной информации, такой как IP-адрес и SSID Wi-Fi.
  • ScanFiles — перечисление файлов в папках «Рабочий стол», «Загрузки» и «Документы».
  • cmd — выполнить команду оболочки
  • RDP — начать сеанс удаленного экрана
  • downloadFile — извлечь файл из системы
  • processInfo — перечисляет запущенные процессы
  • acceptFile — записывает файл на диск

ESET отмечает, что DazzleSpy содержит несколько артефактов, возникших в результате небрежного написания кода и игнорирования операционной безопасности.

Существует множество подсказок, указывающих на происхождение бэкдора, таких как внутренние сообщения об ошибках, которые написаны на китайском языке, и преобразование отфильтрованных временных меток в пояс китайского стандартного времени перед достижением C2.

Наконец, DazzleSpy использует сквозное шифрование в своих сообщениях, и если посредник вставляет между ними прокси-сервер для проверки TLS, он прекращает отправку данных на C2.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии