“Watering Hole” saldırısında amaç; saldırganın, hedef gruba doğrudan saldırmak yerine saldırıya uğrayan grup üyeleri tarafından ziyaret edilmesi muhtemel bir web sitesini tehlikeye atmaktadır. Bu sayede saldırgan, saldırıya uğrayacak grup üyelerinden herhangi biri tarafından kullanılan bir bilgisayar ile web sitesini ziyaret ettiklerinde virüsü bulaştırmış olup bir güvenlik açığını ortaya koymaktadır.
Apple’ın macOS işletim sistemini hedef alan daha önce belgelenmemiş bir siber casus kötü amaçlı yazılım, Hong Kong’da siyasi olarak aktif, demokrasi yanlısı bireyleri hedef alan bir saldırının, Safari web tarayıcısı açıklarından yararlandı.
Slovak siber güvenlik firması ESET, saldırıyı “güçlü teknik yeteneklere” sahip bir aktöre bağladı ve kampanyanın Kasım 2021’de Google Tehdit Analizi Grubu (TAG) tarafından açıklanan benzer bir dijital saldırıyla örtüştüğünü söyledi.
Saldırı zinciri, Hong Kong’da demokrasi yanlısı bir internet radyo istasyonu olan D100 Radio’ya ait meşru bir web sitesinin, 30 Eylül ile 4 Kasım 2021 tarihleri arasında kötü amaçlı satır içi çerçeveler (aka iframe’ler ) enjekte edilmiştir. Ayrıca, “fightforhk[.]com” adlı sahte bir web sitesi kurtuluş eylemcilerini cezbetmek amacıyla kaydedilmiştir.
Sonraki aşamada, değiştirilmiş kod, WebKit’te Şubat 2021’de ( CVE-2021-1789 ) düzeltilen bir uzaktan kod yürütme hatasından yararlanarak bir Mach-O dosyasını yüklemek için bir kanal görevi gördü. ESET araştırmacıları, “Tarayıcıda kod yürütme elde etmek için kullanılan istismar oldukça karmaşık ve bir zamanlar güzel bir şekilde biçimlendirilmiş 1.000’den fazla kod satırına sahiptir.” Dedi.
WebKit uzaktan kod yürütmesinin başarısı, daha sonra, bir sonraki aşama kötü amaçlı yazılımını çalıştırmak için çekirdek bileşeninde ( CVE-2021-30869 ) yama uygulanmış bir yerel ayrıcalık yükseltme güvenlik açığından yararlanan ara Mach-O ikili dosyasının yürütülmesini tetiklemektedir. Bir kök kullanıcı olarak.
Google TAG tarafından detaylandırılan bulaşma sırası, MACMA adlı bir implantın kurulumuyla sonuçlanırken, D100 Radio sitesinin ziyaretçilerine gönderilen kötü amaçlı yazılım, ESET’in DazzleSpy kod adını verdiği yeni bir macOS arka kapısıydı.
Araştırmacılar, kötü amaçlı yazılımın saldırganlara “güvenliği ihlal edilmiş bir bilgisayardan dosyaları kontrol etmek ve dosyalardan sızdırmak için geniş bir işlevsellik seti” sağladığını ve aşağıdakiler de dahil olmak üzere bir dizi başka özelliği dahil ettiğini açıkladı:
- Hasat sistemi bilgileri
- İsteğe bağlı kabuk komutlarını yürütme
- macOS sürümü 10.14.4’ten düşükse bir CVE-2019-8526 istismar kullanarak iCloud Anahtar Zinciri’ni boşaltma
- Uzak ekran oturumunu başlatmak veya sonlandırmak ve
- Kendini makineden silme
Araştırmacılar, “Bu kampanya, LightSpy iOS kötü amaçlı yazılımın (Trend Micro ve Kaspersky tarafından açıklanmıştır) aynı şekilde dağıtıldığı, Hong Kong vatandaşları için web sitelerinde iframe enjeksiyonu kullanılarak bir WebKit istismarına yol açan 2020’deki kampanyayla benzerlikler taşıyor” dedi. Bununla birlikte, her iki kampanyanın da aynı grup tarafından düzenlenip düzenlenmediği belli değil.
Kaynak: The Hacker News