MacOS Malware ‘DazzleSpy’ Digunakan dalam Serangan Lubang Air

Sebuah keluarga baru malware spionase siber yang menargetkan macOS dan dikirimkan melalui eksploitasi Safari digunakan terhadap penduduk Hong Kong yang aktif secara politik dan pro-demokrasi, pada bulan Agustus serangan lubang air yang awalnya ditemukan oleh Google TAG, kata para peneliti pada hari Selasa.

The watering- serangan lubang – yang dilaporkan TAG ke Apple pada bulan yang sama – menyajikan malware di alam liar yang mengeksploitasi apa yang saat itu merupakan cacat nol hari untuk memasang pintu belakang di perangkat iOS dan macOS pengguna yang mengunjungi media berbasis di Hong Kong dan situs pro-demokrasi.

As TAG melaporkan pada bulan November, kerentanan eskalasi hak istimewa XNU zero-day (CVE-2021-30869) yang kemudian tidak ditambal di macOS Catalina menyebabkan pemasangan pintu belakang yang sebelumnya tidak dilaporkan di macOS dan iOS korban systems.

Dalam laporan yang diterbitkan Selasa, peneliti ESET, yang telah menyelidiki kampanye sebelum posting November TAG, mengungkapkan detail baru tentang pintu belakang, target kampanye, malware emp loyed – yaitu, eksploitasi WebKit yang digunakan untuk mengkompromikan pengguna Mac – dan bagaimana korban jatuh ke dalam perangkap untuk memulai.

Potongan baru dari teka-teki yang dijelaskan ESET dalam posting hari Selasa adalah DazzleSpy: pintu belakang berfitur lengkap baru yang dibuat oleh yang tidak dikenal – tetapi secara teknis gesit – operator, kata mereka.

Daftar perintah yang diterimanya panjang: Malware dapat mencari file tertentu untuk dieksfiltrasi, menghitung file di folder Desktop, Unduhan, dan Dokumen; menjalankan perintah shell; menghitung proses yang berjalan; mencuri, mengganti nama, atau memindahkan file; mencatat peristiwa mouse; mengamati, memulai atau mengakhiri sesi jarak jauh; dan melakukan tugas yang diperlukan untuk mengeksploitasi kerentanan CVE-2019-8526.

Researchers juga menemukan bahwa DazzleSpy memberlakukan enkripsi ujung ke ujung dan bahwa pintu belakang tidak berkomunikasi dengan server perintah-dan-kontrol (C2) jika ada yang mencoba untuk menguping, dengan memasukkan proxy pemeriksaan TLS antara sistem yang disusupi dan server C2.

Rawa-Rawa yang Menyedot di Hong Kong Aktivis

Tahap pertama dari rantai serangan adalah mengkompromikan dua situs untuk menyebarkan eksploitasi, ESET menjelaskan:
A palsu situs web yang menargetkan aktivis Hong Kong, seperti dilansir Felix Aimé dari SEKOIA.IO, dengan domain – fightforhk[.]com – baru terdaftar pada 19 Oktober, dan sejak dihapus. Itu dicurangi dengan iframe jahat, seperti yang ditunjukkan di bawah ini.

Situs stasiun radio online, Hong Kong, stasiun radio pro-demokrasi D100, yang ditemukan menyajikan eksploitasi yang sama oleh Google TAG pada bulan Agustus. Mirip dengan fightforhk[.com], situs stasiun radio yang disusupi (ditampilkan di bawah) juga menyuntikkan iframe ke halaman yang dilayani oleh bc.d100[.]net – bagian situs web yang digunakan oleh pelanggan – antara 30 September dan 4 November .

The fightforhk[.]com watering-hole propagating domain, sebagaimana diarsipkan oleh Wayback Machine pada 13 November dan dibagikan oleh ESET.
Excerpt dari https://bc.d100[.]net/Product/Subscription pada 4 November, 2021. Sumber: ESET.
Selanjutnya, kode yang diubah memuat file yang dapat dieksekusi Mach-O dalam memori dengan memanfaatkan bug eksekusi kode jarak jauh (RCE) di WebKit yang diperbaiki Apple pada Februari 2021 (CVE-2021-1789).

“ Eksploitasi yang digunakan untuk mendapatkan eksekusi kode di browser cukup kompleks dan memiliki lebih dari 1.000 baris kode setelah diformat dengan baik,” catat peneliti ESET.

Dari Eskalasi Hak Istimewa ke Root

Setelah eksploit memperoleh eksekusi kode, eksploit tersebut memuat Mach-O ke dalam memori dan mengeksekusi itu, mengeksploitasi jejak kerentanan eskalasi hak istimewa lokal yang dijelaskan sebelumnya ked sebagai CVE-2021-30869 untuk menjalankan tahap selanjutnya sebagai root. Sebuah panggilan kemudian keluar ke fungsi yang disebut “adjust_port_type,” yang mengubah tipe internal port Mach – perubahan yang “tidak mungkin terjadi kecuali ada kerentanan,” catat peneliti ESET.

Ringkasan tentang apa yang dilakukan Mach-O :
Mengunduh file dari URL yang disediakan sebagai argumen

Mendekripsi file ini menggunakan AES-128-EBC dan TEA dengan delta

khususMenulis file yang dihasilkan ke $TMPDIR/airportpaird dan membuatnya dapat dieksekusi

Menggunakan eksploitasi eskalasi hak istimewa untuk menghapus atribut com.apple.quarantine dari file untuk menghindari meminta pengguna untuk mengonfirmasi peluncuran unsigned executable

Menggunakan eskalasi hak istimewa yang sama untuk meluncurkan tahap berikutnya dengan hak akses root

Dalam penulisan November, Google TAG menggambarkan rantai infeksi sebagai pengunduhan berikutnya payload yang disebut MACMA yang membuat sidik jari perangkat korban, mengambil tangkapan layar, mengunggah dan mengunduh file, menjalankan perintah terminal, dan melakukan mata-mata melalui rekaman audio dan keylogging.
nb spTetapi pengunjung situs D100 Radio terkena pintu belakang macOS berbeda yang diberi kode nama ESET DazzleSpy: Alat canggih yang mampu mencuri serangkaian data korban yang memusingkan dan melakukan eksploitasi yang rumit.

Siapa Di Balik Pintu Belakang DazzleSpy?

Mengingat rumitnya kampanye eksploitasi, ESET mengatakan bahwa operator memiliki “kemampuan teknis yang kuat.” Penyerang tidak meninggalkan banyak jejak: peneliti ESET mengatakan mereka belum dapat menemukan analisis sebelumnya tentang kerentanan eskalasi hak lokal (LPE) yang digunakan oleh eksploit, misalnya, atau apa pun tentang kerentanan WebKit tertentu digunakan untuk mendapatkan eksekusi kode di Safari.

ESET mencatat bahwa kampanye – dengan penargetannya terhadap individu-individu Hong Kong yang aktif secara politik dan pro-demokrasi – menyerupai kampanye dari tahun 2020 di mana malware LightSpy iOS (dijelaskan oleh TrendMicro dan Kaspersky) didistribusikan dengan cara yang sama : yaitu, dengan menggunakan injeksi iframe di situs web untuk warga Hong Kong, yang mengarah ke eksploitasi WebKit.

Malware yang digunakan dalam serangan lubang air tahun 2020, pekerjaan dari ancaman persisten lanjutan (APT) baru yang disebut Sampah TwoSail, juga sama dirancang untuk digunakan dalam serangan bertarget massal yang ditujukan untuk pengawasan mendalam dan untuk mengambil kendali penuh atas perangkat iOS.

ESET memang menemukan beberapa petunjuk tentang operator DazzleSpy: Mereka mencatat bahwa malware mengandung ns sejumlah pesan internal dalam bahasa Cina, salah satunya. Selain itu, “setelah malware mendapatkan tanggal dan waktu saat ini di komputer yang disusupi … itu mengubah tanggal yang diperoleh ke zona waktu Asia/Shanghai (alias Waktu Standar China), sebelum mengirimnya ke server C2,” tambah mereka.

The operator juga tidak terlalu peduli tentang keamanan operasional, tampaknya: “Mereka telah meninggalkan nama pengguna ‘wangping’ di jalur yang tertanam dalam biner,” catat ESET, termasuk di jalur yang mengungkapkan nama pengguna ini dan nama modul internal.

Apakah Hong 2020 Serangan Kong dan yang terdeteksi pada bulan Agustus berasal dari APT yang sama masih harus dilihat, kata peneliti ESET. Mereka ada di sana, kata mereka, berjanji untuk “terus melacak dan melaporkan aktivitas jahat serupa.”