「OSX.DazzleSpy」はスパイ活動用のフル機能付きmacOSインプラント。
アンドリュー・オル(Andrew Orr)はMacObserverで2022年01月27日に、「SX.DazzleSpy」は、香港の民主化推進派ウェブサイトを標的とした新しいmacOSインプラントである。macOSのSafariブラウ)ザに影響を与え、サイバースパイに利用されると、ESETの研究者マルク・エチエンヌ・M・レヴェイエ(Marc-Etienne M.Léveillé)とアントン・チェレパノフ(Anton Cherepanov)が発表した。
Safariの14.1より前のバージョンに影響する。
macOS利用者は、Safariのバージョンを最新版にしてください。
Mac用マルウェア「DazzleSpy」
香港の民主化推進派を狙うマルウェアは、以前から話題になっていた。
スマートフォンになって、攻撃者は容易になったかもしれない。
ユーザーが、どんどん素人かし、同時に複雑な攻撃も可能になった。
これだけではないかもしれない。
https://time-az.com/main/detail/76119
SEKOIA.IOのフェリックス・エーメ(Felix Aimé)は、エクスプロイトを広めるために使われたウェブサイトの1つが、香港の活動家をターゲットにした偽のウェブサイトであることを発見した。
悪意のあるamnestyhk[.]orgドメインでホストされているページは、インストールされているmacOSのバージョンをチェックし、ブラウザがmacOS 10.15.2またはそれ以降で動作している場合は次のステージにリダイレクトするようになっている。4ba29d5b72266b28.html という名前の次のステージでは、エクスプロイトコードを含む JavaScript - mac.js - がロードされる。
このエクスプロイトは、1,000行以上のコードが含まれる複雑なもので、iPhone XS以降のiOSをターゲットにできたコードがコメントアウトされているようである。
Google TAGによって確認されたパッチは、脆弱性を修正するものです。D100のサイトへの脆弱な訪問者に配信されたペイロードは、「DazzleSpy」と名付けられた新しいmacOSマルウェアであった。
「DazzleSpy」は、攻撃者が侵害されたコンピュータを制御し、そこからファイルを流出させるための大規模な機能セットを提供するフル機能のバックドアである。
「DazzleSpy」は、ハードコードされたC&Cサーバーに接続する。
サンプルで見つかったIPアドレスとポートは、88.218.192[.]128:5633である。まず、マルウェアはTLSハンドシェイクを行い、次にカスタムプロトコルを使用してJSONオブジェクトを交換し、C&Cサーバーから感染したMacにコマンドを配信する。
自己署名入り証明書は、エンドツーエンドの暗号化が不可能な場合、データの送信を拒否することにより、マルウェアの通信を盗聴の可能性から保護する。また、C&Cサーバで使用されるコマンドのリストを公開した。「info」と呼ばれるコマンドの1つは、下記に情報を収集することができる。
ハードウェアUUID(Hardware UUID)とMacシリアルナンバー(Mac serial number)
ユーザー名(Username)
ディスクとそのサイズに関する情報(Information about disks and their sizes)
macOSバージョン(macOS version)
現在の日付と時間(Current date and time)
Wi-Fi SSID
IPアドレス(IP addresses)
マルウェアのバイナリパスとメイン実行ファイルのMD5ハッシュ(Malware binary path and MD5 hash of the main executable)
マルウェアのバージョン(Malware version)
システムインテグリティプロテクションの状態(System Integrity Protection status)
現在の権限(Current privileges)
CVE-2019-8526を使用してキーチェーンをダンプすることが可能かどうか(Whether it’s possible to use CVE-2019-8526 to dump the keychain)
(TrendMicroとKasperskyが記述)が同じ方法で配布されたものと類似している。
こんな攻撃をしてくる中国で、アップルのティムクック(Tim Cook)は清華大学経済学部の議長(chairman of Tsinghua University’s School of Economics and Management)に就任している。
www.DeepL.com/Translator(無料版)で翻訳しました。
2019-10-21---アップルのティムクックが、中国清華大学SEMの会長に就任。
2022-01-25---Appleセーフティガイド。
2022-01-24---Safariのデータ流出に対するAppleの修正は今週中に行われる可能性が高い。