DazzleSpy Malware

Une menace de porte dérobée iOS et macOS puissante et à part entière nommée DazzleSpy a été déployée dans des attaques de points d'eau contre des citoyens de Hong Kong à tendance pro-démocratie. Les attaques ont d'abord été remarquées par Google TAG, qui en a informé Apple. Pour propager la menace des logiciels malveillants, les cybercriminels ont créé un faux site Web, qui a été signalé par Felix Aimé de SEKOIA.IO. Ils ont également compromis le site Web officiel de la station de radio D100, une radio en ligne pro-démocratie. Plus de détails sur la menace, les attaquants potentiels et la chaîne d'infection employée ont été mis à disposition dans un rapport de chercheurs.

Selon leurs découvertes, la porte dérobée jusque-là inconnue peut reconnaître de nombreuses commandes différentes de ses opérateurs et établir de nombreuses routines invasives sur les systèmes compromis. Selon les objectifs des attaquants, DazzleSpy peut exfiltrer des fichiers spécifiquement choisis, énumérer les processus en cours d'exécution, énumérer les fichiers dans les répertoires Dekstop, Documents et Téléchargements, exécuter des commandes shell arbitraires, manipuler le système de fichiers, etc. DazzleSpy, comme son nom l'indique, est également capable d'espionner la victime en enregistrant les événements de la souris, ainsi qu'en démarrant ou en terminant des sessions à distance. De plus, la menace effectue les tâches nécessaires pour exploiter la vulnérabilité CVE-2019-8526.

C2 Communication et Attribution

La porte dérobée s'assure également que personne n'espionne sa communication avec le serveur de commande et de contrôle (C2, C&C) de l'attaque. Tout d'abord, DazzleSpy utilise un cryptage de bout en bout pour ses messages. Séparément, la menace insère un proxy d'inspection TLS qui se situe entre les appareils infectés et le serveur C2. Si une entité inconnue est détectée pour espionner, DazzleSpy ne fera pas de tentative de communication.

Jusqu'à présent, il n'y a aucune piste concluante établissant le groupe cybercriminel responsable des attaques DazzleSpy. Cependant, la nature de l'opération et le fait que les chercheurs de l'infosec aient trouvé plusieurs messages internes en chinois peuvent être un indice. L'opération présente également des similitudes importantes avec une attaque de point d'eau qui a eu lieu en 2020. À l'époque, l'activité menaçante était attribuée à un groupe APT (Advanced Persistent Threat) suivi sous le nom de TwoSail Junk. Les pirates ont ciblé les citoyens de Hong Kong avec le logiciel malveillant LightSpy iOS qui s'est propagé via des techniques d'injection d'iframe sur le site Web.