水飲み場攻撃に使用されるDazzleSpy

ほぼこもセキュリティニュース By Terilogy Worx

macOS向けに実装されたバックドアが観測されています。
このマルウェアは、特定の人たちが利用するウェブサイトに設置されたJavaScriptから感染します。
こんな感じです。

  • ウェブサイトを訪問する
  • ブラウザにはそのウェブサイトを訪れたかった人が見たいと期待する内容が表示される
  • コンテンツの中に小さなiframeが挿入されている
  • iframeで読み込まれたHTMLのなかのJavaScriptでターゲットOSを判定する
    今回はmacOSの特定のバージョン向けの判定機構が確認されています。

     

  • 条件を満たす場合、次の段階のJavaScriptをロードする
  • 複雑なJavaScriptコードで処理してMach-Oバイナリを生成し、メモリに展開する
    Mach-OバイナリはmacOSで動作する実行形式です。

     

  • 特権昇格する
    エクスプロイトは脆弱性を悪用して特権を獲得します。

     

  • 勝手にこっそり実行可能ファイルを起動する
    特権を悪用し、署名されていない実行可能ファイルを実行してよいかのユーザ確認を表示することなく実行ファイルを起動します。

     

  • バックドアを設置する
    ここで設置されるのがDazzleSpyです。
    確認されているのはx86_64CPUアーキテクチャ用にコンパイルされたMach-Oバイナリです。
    永続性を持ち、C2とのコミュニケーションをし、各種機能を提供するフル機能のバックドアです。
    情報収集、ファイル検索、任意コマンド実行、ファイル入手、リモートデスクトップ機能の操作、ファイルの書き込み、などなんでもありです。

改変が活発に実施されているのか、JavaScriptには多くのコメントが残されていることが確認されています。
観測されたターゲット環境とは異なるターゲット向けとみられるコードもコメント状態で残ったままになっています。

この例では、CVE-2021-1789、CVE-2021-30869、CVE-2019-8526が悪用されていると考えられています。
これらの脆弱性がなかった場合、感染チェーンはそれ以上は進まなかったことでしょう。
感染チェーンを開始してしまわないように注意することも重要ですが、脆弱性がなるべく少ない環境を維持することも重要です。

危険な内容のサイトがいかにも危険に見えるというのは幻想です。
巧妙に普通の見た目となるように作られたサイトを怪しいと思って利用しないでいることは容易ではありません。
というか、その普通に見えるサイトをブラウザで表示した瞬間にすでに攻撃は開始されています。

さて、日々の運用を再度点検するとしましょう。

参考記事(外部リンク):Watering hole deploys new macOS malware, DazzleSpy, in
Asia

www.welivesecurity.com/2022/01/25/watering-hole-deploys-new-macos-malware-dazzlespy-asia/