Một phần mềm độc hại gián điệp mạng không có giấy tờ trước đây nhắm vào hệ điều hành macOS của Apple đã tận dụng việc khai thác trình duyệt web Safari như một phần của cuộc tấn công lỗ hổng nhằm vào các cá nhân hoạt động chính trị, ủng hộ dân chủ ở Hồng Kông.
Công ty an ninh mạng của Slovakia, ESET cho rằng vụ xâm nhập là do một tác nhân có “năng lực kỹ thuật mạnh”, chỉ ra các điểm trùng lặp của chiến dịch là của một cuộc tấn công kỹ thuật số tương tự do Nhóm phân tích mối đe dọa của Google (TAG) tiết lộ vào tháng 11 năm 2021.
Chuỗi tấn công liên quan đến việc xâm nhập một trang web hợp pháp thuộc D100 Radio, một đài phát thanh internet ủng hộ dân chủ ở Hồng Kông, để đưa các khung nội tuyến độc hại (hay còn gọi là iframe) trong khoảng thời gian từ ngày 30 tháng 9 đến ngày 4 tháng 11 năm 2021.
Trong giai đoạn tiếp theo, mã giả mạo hoạt động như một đường dẫn để tải tệp Mach-O bằng cách tận dụng lỗi thực thi mã từ xa trong webkit đã được Apple sửa vào tháng 2 năm 2021 (CVE-2021-1789). Các nhà nghiên cứu của ESET cho biết: “Việc khai thác được sử dụng để thực thi mã trong trình duyệt khá phức tạp và có hơn 1.000 dòng mã từng được định dạng độc đáo.
Sự thành công của việc thực thi mã từ xa WebKit sau đó kích hoạt việc thực thi nhị phân Mach-O trung gian, đến lượt nó, khai thác lỗ hổng leo thang đặc quyền cục bộ hiện đã được vá trong thành phần hạt nhân (CVE-2021-30869) để chạy phần mềm độc hại ở giai đoạn tiếp theo với tư cách là người dùng root.
Trong khi trình tự lây nhiễm được Google TAG trình bày chi tiết lên đến đỉnh điểm trong việc cài đặt thiết bị cấy ghép có tên MACMA, phần mềm độc hại được phân phối cho khách truy cập trang D100 Radio là một cửa hậu macOS mới mà ESET có tên mã là DazzleSpy.
Các nhà nghiên cứu giải thích rằng phần mềm độc hại này cung cấp cho những kẻ tấn công “một tập hợp lớn các chức năng để kiểm soát và tách các tệp khỏi một máy tính bị xâm nhập”, ngoài việc kết hợp một số tính năng khác, bao gồm –
Thu thập thông tin hệ thống Thực thi các lệnh shell tùy ý Kết xuất iCloud Keychain bằng cách sử dụng khai thác CVE-2019-8526 nếu phiên bản macOS thấp hơn 10.14.4 Bắt đầu hoặc kết thúc phiên màn hình từ xa và xóa chính nó khỏi máy
Các nhà nghiên cứu cho biết: “Chiến dịch này có những điểm tương đồng với chiến dịch từ năm 2020, nơi phần mềm độc hại iOS LightSpy (được mô tả bởi Trend Micro và Kaspersky) được phát tán theo cùng một cách, sử dụng phương thức tiêm iframe trên các trang web dành cho công dân Hồng Kông dẫn đến việc khai thác WebKit”. Điều đó nói rằng, không rõ ràng ngay lập tức nếu cả hai chiến dịch được tổ chức bởi cùng một nhóm.
.
