Penyerang menggunakan backdoor macOS yang disebut DazzleSpy dalam suatu serangan

idNSA.id - Peneliti dari ESET telah melihat backdoor macOS yang tidak berdokumen, dijuluki DazzleSpy, yang digunakan dalam serangan watering hole yang ditujukan untuk individu yang aktif secara politik di Hong Kong.

Penyelidikan dimulai pada bulan November setelah Google TAG menerbitkan  posting blog  tentang serangan hole watering yang menargetkan pengguna macOS di Hong Kong.

Peneliti Google TAG menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day di macOS dalam kampanye yang bertujuan untuk mengirimkan malware ke pengguna di Hong Kong. Penyerang mengeksploitasi  kerentanan privilege escalation XNU ( CVE-2021-30869 ) yang belum di-patch di macOS Catalina

Kampanye hole watering menargetkan situs web outlet media dan kelompok buruh dan politik pro-demokrasi yang penting. Para peneliti menemukan bahwa penyerang yang ditempatkan di situs menghosting dua iframe yang digunakan untuk menyajikan eksploitasi iOS dan macOS kepada pengunjung.

Para ahli percaya bahwa serangan itu diatur oleh attacker antar negara, tetapi tidak mengaitkan kampanye tersebut dengan kelompok APT tertentu.

ESET juga mengaitkan serangan tersebut dengan attacker dengan kemampuan teknis yang kuat. Menurut Felix Aimé dari SEKOIA.IO, salah satu situs yang digunakan oleh pelaku penyerangan dalam serangan tersebut adalah situs palsu yang menargetkan aktivis Hong Kong.

Para peneliti juga menemukan situs resmi Hong Kong, stasiun radio pro-demokrasi D100 yang dikompromikan untuk mendistribusikan eksploitasi yang sama sebelum laporan Google TAG.

“Eksploitasi yang digunakan untuk mendapatkan eksekusi kode di browser cukup kompleks dan memiliki lebih dari 1.000 baris kode setelah diformat dengan baik. Sangat menarik untuk dicatat bahwa beberapa kode, yang menunjukkan bahwa kerentanan juga dapat dieksploitasi di iOS dan bahkan pada perangkat yang mendukung PAC ( Kode Otentikasi Pointer ) seperti iPhone XS dan yang lebih baru, telah dikomentari” demikian bunyi analisis yang diterbitkan oleh ESET .

Setelah mengeksploitasi WebKit RCE, attacker mengeksekusi biner Mach-O status kedua yang mengeksploitasi masalah eskalasi hak kernel lokal CVE-2021-30869 untuk menjalankan malware tahap berikutnya sebagai pengguna root.

Setelah mendapatkan root, payload yang diunduh dimuat dan dieksekusi di background machine korban melalui launchtl. Dalam serangan yang dicapai oleh Google, muatan terakhir dilacak sebagai MACMA, sedangkan dalam serangan yang didokumentasikan oleh pelaku ancaman ESET menggunakan backdoor DazzleSpy.

DazzleSpy mendukung berbagai fitur yang memberikan penyerang serangkaian fungsionalitas besar untuk mengontrol, dan mengekstrak file dari, komputer yang disusupi.

Di bawah ini adalah daftar fitur yang didukung: Memanen informasi system, Menjalankan arbitrary shell commands, Membuang Key Chain iCloud menggunakan  eksploitasi CVE-2019-8526  jika versi macOS lebih rendah dari 10.14.4, Memulai atau mengakhiri remote screen session, dan Menghapus dirinya sendiri dari machine.

“Operasi hole watering yang dilakukan kelompok ini menunjukkan bahwa targetnya cenderung aktif secara politik, individu pro-demokrasi di Hong Kong. Kampanye ini memiliki kesamaan dengan salah satu dari tahun 2020 di mana malware LightSpy iOS (dijelaskan oleh  TrendMicro  dan  Kaspersky ) didistribusikan dengan cara yang sama, menggunakan injeksi iframe di situs web untuk warga Hong Kong yang mengarah ke eksploitasi WebKit. Kami tidak dapat mengonfirmasi pada saat ini apakah kedua kampanye tersebut berasal dari grup yang sama, tetapi ESET Research akan terus melacak dan melaporkan aktivitas berbahaya yang serupa.” kesimpulan laporan.