Un sito pro-democrazia di Hong Kong è stato utilizzato per lanciare attacchi watering-hole, una tecnica impiegata dai cyber criminali per colpire un determinato gruppo di utenti infettando i siti web. Questi attacchi hanno piantato una potente backdoor per macOS, che i ricercatori hanno soprannominato DazzleSpy.
Una nuova famiglia di malware di spionaggio informatico che mira a macOS e consegnato tramite un exploit di Safari è stato utilizzato contro i residenti di Hong Kong politicamente attivi e pro-democrazia, negli attacchi watering-hole di agosto inizialmente scoperti da Google TAG, hanno detto i ricercatori.
Gli attacchi watering-hole – che TAG ha segnalato ad Apple lo stesso mese – servivano un malware in-the-wild che ha sfruttato un difetto del sistema per installare una backdoor sui dispositivi iOS e macOS degli utenti che hanno visitato i media di Hong Kong e i siti pro-democrazia.
Come TAG ha riferito nel mese di novembre, la vulnerabilità CVE-2021-30869 che era allora senza patch in macOS Catalina ha portato all’installazione di una backdoor precedentemente non segnalata sui sistemi macOS e iOS delle vittime.
In un rapporto, i ricercatori di ESET che stavano indagando sulla campagna prima del post di TAG di novembre, hanno rivelato nuovi dettagli sulla backdoor, gli obiettivi della campagna, il malware impiegato – in particolare, un exploit WebKit utilizzato per compromettere gli utenti Mac – e come le vittime sono cadute nella trappola.
Il nuovo pezzo del puzzle che ESET ha descritto nel post di martedì è DazzleSpy: una nuova backdoor creata da operatori sconosciuti e tecnicamente abili.
La lista dei comandi che accetta è lunga: Il malware può cercare file specifici da infiltrare, eseguire comandi di shell; controllare i processi in esecuzione; rubare, rinominare o spostare i file; registrare i movimenti del mouse; osservare, avviare o terminare sessioni remote; eseguire i compiti necessari per sfruttare la vulnerabilità CVE-2019-8526.
I ricercatori hanno anche sottolineato che DazzleSpy applica la crittografia end-to-end e che la backdoor si astiene dal comunicare con il suo server command-and-control (C2) se qualcuno cerca di spiare, inserendo un proxy TLS-inspection tra il sistema compromesso e il server C2.
Le paludi che hanno risucchiato gli attivisti di Hong Kong
Per cercare di mitigare il più possibile questo tipo di attacchi, sarebbe utile prendere alcune precauzioni, come l’uso di software antivirus, sebbene su Mac non siano così diffusi. Ma anche una VPN può aiutare in certi casi. Infatti, è una buona scelta usare la VPN gratuita per iniziare a proteggere i propri dati online.
La prima fase della catena di attacco è stata quella di compromettere due siti in modo da propagare gli exploit, ha spiegato ESET:
1. Un falso sito web rivolto agli attivisti di Hong Kong, come riportato da Felix Aimé di SEKOIA.IO, con un dominio – fightforhk[.]com – registrato solo il 19 ottobre, e da allora rimosso.
2. Il sito legittimo ma compromesso della stazione radio online, Hong Kong, stazione radio pro-democrazia D100, che è stato scoperto a servire lo stesso exploit da Google TAG in agosto. Simile a fightforhk[.com], il sito compromesso della stazione radio ha iniettato un iframe nelle pagine servite da bc.d100[.]net – la sezione del sito utilizzata dagli abbonati – tra il 30 settembre e il 4 novembre.
Successivamente, il codice manomesso carica un file eseguibile Mach-O in memoria sfruttando un bug di esecuzione di codice remoto (RCE) in WebKit che Apple ha risolto nel febbraio 2021.
“L’exploit utilizzato per ottenere l’esecuzione di codice nel browser è abbastanza complesso e aveva più di 1.000 linee di codice”, hanno notato i ricercatori ESET.
Dall’escalation di privilegi a Root
Dopo che l’exploit ottiene l’esecuzione del codice, carica Mach-O in memoria e lo esegue, sfruttando una vulnerabilità locale di privilege-escalation e tracciata come CVE-2021-30869 per eseguire la fase successiva come root. Una chiamata va poi a una funzione chiamata “adjust_port_type”, che cambia il tipo interno di una porta Mach – un cambiamento che “non dovrebbe essere possibile a meno che non esista una vulnerabilità”, hanno notato i ricercatori ESET.
Chi c’è dietro la backdoor DazzleSpy?
Data la complessità degli exploit della campagna, ESET dice che gli operatori hanno “grandi capacità tecniche”. Gli aggressori non hanno lasciato molte tracce: I ricercatori di ESET hanno detto che non sono ancora stati in grado di trovare analisi precedenti su una vulnerabilità di local privilege-escalation (LPE) utilizzata dall’exploit, né nulla sulla specifica vulnerabilità WebKit utilizzata per ottenere l’esecuzione di codice in Safari.
ESET ha fatto notare che la campagna – con il suo targeting di persone politicamente attive e pro-democrazia di Hong Kong – assomiglia ad una del 2020 in cui il malware LightSpy iOS, descritto da Kaspersky, è stato distribuito nello stesso modo: cioè, utilizzando l’iniezione di iframe su siti web per i cittadini di Hong Kong, portando ad un exploit WebKit.
Il malware utilizzato negli attacchi “watering-hole” del 2020, opera di una nuova minaccia avanzata persistente (APT) chiamata TwoSail Junk, è stato progettato per essere utilizzato in un attacco di massa mirato alla sorveglianza e per prendere il controllo totale dei dispositivi iOS.
ESET ha trovato alcuni indizi sugli operatori di DazzleSpy: il malware contiene una serie di messaggi interni in cinese. Inoltre, “una volta che il malware ottiene la data e l’ora corrente su un computer compromesso […] converte la data ottenuta nel fuso orario dell’Asia/Shanghai (China Standard Time), prima di inviarla al server C2”.
Gli hacker non sono troppo preoccupati della sicurezza operativa, a quanto pare: “Hanno lasciato il nome utente ‘wangping’ nei percorsi incorporati nel binario”, ha notato ESET.
Se gli attacchi di Hong Kong del 2020 e quelli rilevati in agosto provengono dallo stesso APT rimane da vedere, hanno detto i ricercatori ESET, che promettono di “continuare a monitorare e segnalare attività dannose simili”.