Tin tặc lây nhiễm macOS bằng cửa hậu DazzleSpy mới trong các cuộc tấn công Watering-Hole

Một mã độc gián điệp mạng chưa từng được ghi lại trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác lỗ hổng trên trình duyệt web Safari, như một phần của cuộc tấn công watering hole nhắm vào các cá nhân ủng hộ dân chủ hoạt động chính trị tích cực ở Hồng Kông.



Công ty an ninh mạng ESET của Slovakia cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật cao”. Họ chỉ ra các điểm trùng lặp của chiến dịch với một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) phát hiện vào tháng 11/2021.



Chuỗi các cuộc tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh radio trên internet ủng hộ dân chủ ở Hồng Kông nhằm phát tán các khung nội tuyến độc hại (hay còn gọi là iframe ) trong khoảng thời gian từ ngày 30/9 đến ngày 4/11/2021. Ngoài ra một trang web lừa đảo có tên là “fightforhk [.] com ”cũng đã được đăng ký với mục đích đánh lừa các nhà hoạt động giải phóng.



Trong giai đoạn tiếp theo, mã độc giả mạo hoạt động như một đường dẫn để tải tệp file Mach-O bằng cách tận dụng lỗ hổng thực thi mã từ xa trong WebKit đã được Apple khắc phục vào tháng 2/2021 ( CVE-2021-1789 ). Các chuyên gia của ESET cho biết: “Việc khai thác lỗ hổng để có thể thực thi mã trong trình duyệt khá phức tạp và có đến hơn 1.000 dòng mã”.



Việc thực thi mã từ xa thành công trên WebKit qua đó kích hoạt việc thực thi mã nhị phân Mach-O trung gian và khai thác lỗ hổng leo thang đặc quyền cục bộ hiện đã được vá trong thành phần hạt nhân ( CVE-2021-30869 ) để có thể chạy mã độc ở giai đoạn tiếp theo với tư cách là người dùng root.



Trong khi trình tự lây nhiễm được nhóm Google TAG trình bày chi tiết với đỉnh điểm là việc cài đặt một thiết bị cấy ghép có tên MACMA, mã độc được phát tán cho người dùng cập trang web D100 Radio là một cửa hậu macOS mới mà ESET có đặt biệt danh là DazzleSpy.



Các chuyên gia giải thích rằng mã độc này cung cấp cho những kẻ tấn công: “Nhiều chức năng để kiểm soát và trích xuất các file khỏi máy tính bị xâm nhập”. Ngoài ra còn có kết hợp một số tính năng khác bao gồm:




Thu thập thông tin hệ thống
Thực thi các lệnh shell tùy ý
Đánh cắp mật khẩu iCloud sử dụng một lỗ hổng CVE-2019-8526 nếu phiên bản macOS cũ hơn bản 10.14.4
Bắt đầu hoặc kết thúc một phiên chia sẻ màn hình từ xa
Tự xóa chính nó khỏi thiết bị

Một trong số những phát hiện thú vị khác về cuộc tấn công đó là sau khi mã độc lấy được ngày và giờ hiện tại của máy tính bị xâm nhập, nó sẽ chuyển đổi ngày giờ thu được sang múi giờ Châu Á / Thượng Hải (hay còn gọi là Giờ chuẩn Trung Quốc), trước khi gửi đến máy chủ điều khiển.



Các chuyên gia cho biết: “Chiến dịch này có những điểm tương đồng với chiến dịch từ năm 2020 khi mà mã độc iOS LightSpy (được mô tả bởi Trend Micro và Kaspersky ) được phát tán theo cùng một cách, sử dụng phương thức chèn iframe vào các trang web dành cho công dân Hồng Kông dẫn đến việc khai thác lỗ hổng WebKit”. Tuy nhiên hiện chưa rõ rằng liệu cả hai chiến dịch được tổ chức bởi cùng một nhóm hay không.



Theo Thehackernews
The post Tin tặc lây nhiễm macOS bằng cửa hậu DazzleSpy mới trong các cuộc tấn công Watering-Hole appeared first on SecurityDaily .