Peneliti keamanan telah merilis detail DazzleSpy – malware Mac yang memungkinkan adanya key-logging, tangkapan layar, dan akses mikrofon.
DazzleSpy bertujuan untuk menargetkan aktivis demokrasi Hong Kong, awalnya melalui situs web pro-demokrasi palsu, dan kemudian melalui situs asli, dalam apa yang bernama serangan watering hole.
Kami belajar kemarin tentang pembajakan webcam Mac. Penemuan itu, untungnya, karya seorang mahasiswa keamanan siber yang melaporkannya ke Apple. Tapi DazzleSpy tersedia secara publik.
Grup Analisis Ancaman (TAG) Google pertama kali melaporkan serangan itu pada November tahun lalu.
Untuk melindungi pengguna kami, TAG secara rutin mencari kerentanan 0-day yang tereksploitasi di alam liar.
Pada akhir Agustus 2021, TAG menemukan serangan lubang air yang menargetkan pengunjung situs web Hong Kong untuk outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka.
Watering hole menyajikan kerentanan eskalasi hak istimewa XNU (CVE-2021-30869) yang belum mendapat update di macOS Catalina, yang menyebabkan pemasangan backdoor yang sebelumnya tidak terlihat.
Berdasarkan temuan kami, kami yakin pelaku ancaman ini adalah kelompok dengan sumber daya yang baik.
Kemungkinan mendapat dukungan oleh negara, dengan akses ke tim rekayasa perangkat lunak mereka sendiri berdasarkan kualitas kode muatan.
Serangan watering hole dinamakan demikian karena berada di tempat-tempat di mana target cenderung berkumpul, seperti jenis situs web tertentu.
Malware DazzleSpy Mac
Meskipun Google mengungkapkan beberapa detail pada saat itu. Ternyata peneliti keamanan di ESET menemukannya terlebih dahulu, dan perusahaan kini telah merilis informasi yang lebih detail.
Berdasarkan situs web yang ada untuk serangan itu, tidak sulit untuk mengetahui siapa yang berada di baliknya.
Felix Aimé dari SEKOIA.IO melaporkan bahwa salah satu situs untuk menyebarkan eksploitasi adalah situs palsu yang menargetkan aktivis Hong Kong. Kita dapat membaca di halaman berandanya “Bebaskan Hong Kong, revolusi zaman kita”.
Tanggal pendaftaran domain fightforhk[.]com terbaru, 19 Oktober 2021, dan juga fakta bahwa situs web tidak lagi dapat diakses, mendukung gagasan itu.
Kami juga dapat mengonfirmasi bahwa Internet Archive menyimpan salinan halaman web pada 13 November.
Peneliti ESET menemukan situs web lain, kali ini sah tetapi teratur, yang juga mendistribusikan eksploitasi yang sama selama beberapa bulan sebelum publikasi Google TAG: stasiun radio online, Hong Kong, pro-demokrasi D100.
Seperti yang terlihat pada Gambar 2, iframe masuk ke halaman yang dilayani oleh bc.d100[.]net – bagian situs web yang digunakan oleh pelanggan – antara 30 September dan 4 November 2021.
Ada juga bahasa Cina dalam kode, dan tanggal dan waktu informasi yang terkirim kembali ke server dikonversi ke zona waktu Shanghai.
Serangan itu menggunakan eksploitasi WebKit. Eksploitasinya rumit – dengan lebih dari 1.000 baris kode. Jadi Anda harus membaca posting blog untuk pemahaman yang mendetail, tetapi ringkasan tl;dr adalah ini:
- Mengunduh file dari URL yang tersedia sebagai argumen
- Mendekripsi file ini menggunakan AES-128-EBC dan TEA dengan delta khusus
- Menulis file ke $TMPDIR/airportpaird dan juga membuatnya dapat tereksekusi
- Menggunakan eksploit eskalasi hak istimewa untuk menghapus com.apple.quarantineattribute dari file untuk menghindari meminta pengguna mengonfirmasi peluncuran executable yang tidak memiliki tandatangan
- Menggunakan eskalasi hak istimewa yang sama untuk meluncurkan tahap berikutnya dengan hak akses root
Ini memberikan hak istimewa admin malware tanpa interaksi pengguna.
Kemungkinan akses ilegal yang terjadi:
- searchFile Mencari file tertentu di komputer yang tersusupi.
- scanFiles Menghitung file dalam folder Desktop, Unduhan, dan juga Dokumen.
- cmd Menjalankan perintah shell yang tersedia.
- restartCMD Memulai kembali sesi shell.
- processInfo Menghitung proses yang sedang berjalan.
- keychain Membuang keychain menggunakan eksploitasi CVE-2019-8526 jika versi macOS lebih rendah dari 10.14.4. Implementasi KeySteal keychain publik.
- downloadFileInfo Menghitung folder yang tersedia, atau menyediakan atau membuat dan juga memodifikasi cap waktu dan hash SHA-1 untuk nama file yang ada.
- downloadFile Mengeksfiltrasi file dari jalur yang ada.
- file Operasi file: menyediakan informasi, mengganti nama, menghapus, memindahkan, atau juga menjalankan file di jalur yang tersedia.
- RDP Memulai atau mengakhiri sesi layar jarak jauh.
- acceptFileInfo Mempersiapkan transfer file (membuat folder di jalur yang tersedia, mengubah atribut file jika ada).
- acceptFile Menulis file yang tersedia ke disk. Dengan parameter tambahan, memperbarui sendiri atau juga menulis file yang penting untuk acceptFile yang mengeksploitasi kerentanan CVE-2019-8526.
Apple menambal kerentanan yang terbuka – seperti biasa, pengingat untuk selalu memperbarui perangkat Anda.