Een voorheen ongedocumenteerde cyberspionagemalware gericht op het macOS-besturingssysteem van Apple maakte gebruik van een Safari-webbrowser-exploit als onderdeel van een watergataanval gericht op politiek actieve, pro-democratische individuen in Hong Kong.
Slowaaks cyberbeveiligingsbedrijf ESET toegeschreven aan de inbreuk op een acteur met “sterke technische capaciteiten”, die de overlappingen van de campagne met die van een soortgelijk digitaal offensief dat in november 2021 door de Google Threat Analysis Group (TAG) werd onthuld, naar voren bracht.
De aanvalsketen omvatte het compromitteren van een legitieme website van D100 Radio, een pro-democratisch internetradiostation in Hong Kong, om kwaadaardige inline-frames (ook bekend als iframes) tussen 30 september en 4 november 2021.
In de volgende fase fungeerde de geknoeide code als een kanaal om een Macho bestand door gebruik te maken van een bug voor het uitvoeren van externe code in WebKit die in februari 2021 door Apple is opgelost (CVE-2021-1789). “De exploit die wordt gebruikt om code in de browser uit te voeren, is behoorlijk complex en had meer dan 1.000 regels code ooit mooi geformatteerd”, aldus ESET-onderzoekers.
Het succes van de WebKit-uitvoering van externe code leidt vervolgens tot de uitvoering van het intermediaire Mach-O-binaire bestand dat op zijn beurt misbruik maakt van een nu gepatchte kwetsbaarheid voor lokale escalatie van bevoegdheden in de kernelcomponent (CVE-2021-30869) om de volgende fase van malware uit te voeren als rootgebruiker.
Terwijl de infectievolgorde die door Google TAG werd beschreven, culmineerde in de installatie van een implantaat genaamd MACMA, was de malware die aan bezoekers van de D100 Radio-site werd geleverd een nieuwe macOS-achterdeur die ESET de codenaam heeft gegeven. DazzleSpy.
De malware biedt aanvallers “een groot aantal functionaliteiten om bestanden te controleren en te exfiltreren van een gecompromitteerde computer”, legden de onderzoekers uit, naast een aantal andere functies, waaronder:
- Informatie over het oogstsysteem
- Willekeurige shell-commando’s uitvoeren
- iCloud-sleutelhanger dumpen met a CVE-2019-8526 exploiteren als de macOS-versie lager is dan 10.14.4
- Een schermsessie op afstand starten of beëindigen, en
- Zichzelf van de machine verwijderen
“Deze campagne heeft overeenkomsten met een campagne uit 2020 waar LightSpy iOS-malware (beschreven door Trend Micro en Kaspersky) werd op dezelfde manier verspreid, met behulp van iframe-injectie op websites voor inwoners van Hong Kong, wat leidde tot een WebKit-exploit, “zei de onderzoekers. Dat gezegd hebbende, is het niet meteen duidelijk of beide campagnes door dezelfde groep werden georkestreerd.
