DazzleSpy Macマルウェア：キーロギング、スクリーンキャプチャなどc

セキュリティ研究者が、キーロギング、スクリーンキャプチャ、マイクのアクセスなどを可能にする Mac マルウェア「DazzleSpy」の詳細を公開しました。

DazzleSpy は、当初は偽の民主化ウェブサイトを通じて、後に本物のウェブサイトを通じて、いわゆる水飲み場型攻撃で香港の民主化活動家を標的にするために使用されました…

昨日、Macのウェブカメラが乗っ取られたというニュースが報じられました。幸いなことに、この発見はサイバーセキュリティを学ぶ学生がAppleに報告したもので、DazzleSpyは実際に悪用されていました。

背景

Googleの脅威分析グループ（TAG）は昨年11月にこの攻撃を初めて報告した。

ユーザー保護のため、TAGは実際に悪用されているゼロデイ脆弱性を定期的に調査しています。2021年8月下旬、TAGは香港のメディアと著名な民主化推進派の労働・政治団体のウェブサイト訪問者を標的とした水飲み場型攻撃を発見しました。この水飲み場型攻撃は、macOS Catalinaにパッチが適用されていないXNU権限昇格脆弱性（CVE-2021-30869）を悪用し、これまで報告されていないバックドアがインストールされました[…]

調査結果に基づき、この脅威の攻撃者は十分なリソースを持つグループであり、ペイロード コードの品質に基づいて独自のソフトウェア エンジニアリング チームにアクセスできる可能性が高いと考えられます。

ウォーターホール型攻撃は、特定の種類の Web サイトなど、ターゲットが集まりやすい場所で実行されるため、このように呼ばれています。

Google は当時いくつかの詳細を明らかにしたが、最初にこれを発見したのは ESET のセキュリティ研究者だったことが判明し、同社は現在、より詳細な情報を公開している。

攻撃に使用されたウェブサイトを基にすれば、誰がその背後にいるのかを突き止めるのはそれほど難しくない。

SEKOIA.IOのフェリックス・エメ氏によると、エクスプロイトの拡散に使用されたウェブサイトの一つは、香港の活動家を標的とした偽ウェブサイトだったという。そのホームページには「香港を解放せよ、我々の時代の革命」と書かれている。fightforhk[.]comドメインの登録日が2021年10月19日と非常に新しく^{、ウェブサイトが現在アクセスできないという事実も、この説を裏付けている。また、インターネットアーカイブが11月13日}に当該ウェブページのコピーをキャッシュしていたことも確認できた。 

ESETの研究者は、Google TAGの公開の数ヶ月前に同じエクスプロイトを配布していた別のウェブサイトを発見しました。今回は正規のウェブサイトでしたが、侵害を受けていました。それは香港の民主化支持オンラインラジオ局D100です。図2に示すように、2021年9月30日から11月4日の間に、bc.d100[.]net（購読者が利用するウェブサイトセクション）から配信されるページにiframeが挿入されて^い まし^た 。

コードには中国語も含まれており、サーバーに送り返される情報の日時は上海のタイムゾーンに変換されます。

この攻撃ではWebKitのエクスプロイトが使用されました。このエクスプロイトは1,000行を超えるコードで構成されており、詳細な内容を理解するにはブログ記事を読む必要がありますが、要約すると以下のようになります。

1. 引数として指定されたURLからファイルをダウンロードします
2. このファイルをAES-128-EBCとTEAを使用してカスタムデルタで復号します
3. 結果のファイルを$TMPDIR/airportpairdに書き込み、実行可能にする
4. 権限昇格エクスプロイトを使用して、ファイルからcom.apple.quarantineattributeを削除し、署名されていない実行ファイルの起動をユーザーに確認させないようにします。
5. 同じ権限昇格を使用して、ルート権限で次のステージを開始します。

これにより、ユーザーの介入なしにマルウェアに管理者権限が与えられます。

マルウェア自体は非常に強力で、攻撃者は複数のコマンドにアクセスできます。

• searchFile侵害されたコンピューター上で指定されたファイルを検索します。
• scanFiles は、デスクトップ、ダウンロード、ドキュメント フォルダー内のファイルを列挙します。
• cmd指定されたシェル コマンドを実行します。
• restartCMDシェル セッションを再起動します。
• processInfo実行中のプロセスを列挙します。
• keychain macOSバージョンが10.14.4未満の場合、CVE-2019-8526エクスプロイトを使用してキーチェーンをダンプします。公開キーチェーンのKeySteal実装が使用されます。
• downloadFileInfo指定されたフォルダーを列挙するか、指定されたファイル名の作成および変更のタイムスタンプと SHA-1 ハッシュを提供します。
• downloadFile指定されたパスからファイルを抽出します。
• ファイル操作: 指定されたパスにあるファイルに対して、情報の提供、名前の変更、削除、移動、または実行を行います。
• RDPリモート スクリーン セッションを開始または終了します。
• acceptFileInfoファイル転送の準備をします (指定されたパスにフォルダーを作成し、存在する場合はファイル属性を変更します)。
• acceptFile は指定されたファイルをディスクに書き込みます。追加パラメータを指定すると、自身を更新するか、CVE-2019-8526 の脆弱性を悪用する acceptFile に必要なファイルを書き込みます。

Apple は使用された脆弱性を修正しました。いつものように、デバイスを最新の状態に保つよう注意喚起しています。

Macworldより。写真：TheRegisti/Unsplash。

skinessind.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。