Apple’ın macOS işletim sistemini hedef alan daha önce belgelenmemiş bir siber casusluk kötü amaçlı yazılımı, Hong Kong’da siyasi olarak aktif, demokrasi yanlısı bireyleri hedef alan bir saldırının parçası olarak bir Safari web tarayıcısı açıklarından yararlandı.
Slovak siber güvenlik firması ESET atfedilen Kampanyanın Kasım 2021’de Google Tehdit Analizi Grubu (TAG) tarafından açıklanan benzer bir dijital saldırıyla örtüştüğünü öne süren “güçlü teknik yeteneklere” sahip bir aktöre izinsiz giriş.
Saldırı zinciri, Hong Kong’da demokrasi yanlısı bir internet radyo istasyonu olan D100 Radio’ya ait meşru bir web sitesinin, kötü amaçlı satır içi çerçeveler (diğer adıyla iframe’ler) 30 Eylül – 4 Kasım 2021 tarihleri arasında.
Bir sonraki aşamada, kurcalanmış kod, bir yükleme yapmak için bir kanal görevi gördü. Maço Şubat 2021’de Apple tarafından düzeltilen WebKit’teki bir uzaktan kod yürütme hatasından yararlanarak dosya (CVE-2021-1789). ESET araştırmacıları, “Tarayıcıda kod yürütme elde etmek için kullanılan istismar oldukça karmaşık ve bir zamanlar güzel bir şekilde biçimlendirilmiş 1.000’den fazla kod satırına sahipti.” Dedi.
WebKit uzaktan kod yürütmesinin başarısı, daha sonra, bir sonraki aşama kötü amaçlı yazılımını çalıştırmak için çekirdek bileşeninde (CVE-2021-30869) yama uygulanmış bir yerel ayrıcalık yükseltme güvenlik açığından yararlanan ara Mach-O ikili dosyasının yürütülmesini tetikler. bir kök kullanıcı olarak.
Google TAG tarafından detaylandırılan bulaşma sırası, MACMA adlı bir implantın kurulumuyla sonuçlanırken, D100 Radio sitesinin ziyaretçilerine gönderilen kötü amaçlı yazılım, ESET’in kod adını verdiği yeni bir macOS arka kapısıydı. DazzleCasus.
Araştırmacılar, kötü amaçlı yazılımın saldırganlara “güvenliği ihlal edilmiş bir bilgisayardan dosyaları kontrol etmek ve dosyalardan sızdırmak için geniş bir işlevsellik seti” sağladığını ve aşağıdakiler de dahil olmak üzere bir dizi başka özelliği dahil ettiğini açıkladı:
- Hasat sistemi bilgileri
- İsteğe bağlı kabuk komutlarını yürütme
- Bir kullanarak iCloud Anahtar Zinciri’ni boşaltmak CVE-2019-8526 macOS sürümü 10.14.4’ten düşükse istismar
- Uzak ekran oturumunu başlatmak veya sonlandırmak ve
- Kendini makineden silme
“Bu kampanya, LightSpy iOS kötü amaçlı yazılımının (tarafından açıklanan) 2020’deki kampanyayla benzerlik gösteriyor. Trend Mikro ve Kaspersky) aynı şekilde dağıtıldı, Hong Kong vatandaşları için web sitelerinde iframe enjeksiyonu kullanılarak bir WebKit istismarına yol açtı,” dedi araştırmacılar. Bununla birlikte, her iki kampanyanın da aynı grup tarafından düzenlenip düzenlenmediği hemen belli değil.