ESET Araştırma Ünitesi, Hong Kong’daki demokrasi yanlısı haber sitesinin ziyaretçilerini gözetleyen macOS makus emelli yazılım DazzleSpy’ı keşfetti.
ESET araştırma takımının bilgilerine bakılırsa bir watering hole (su kaynağı) saldırısı, Hong Kong’daki demokrasi yanlısı radyo istasyonunun haber web sitesine sızdı. Saldırganlar, siteyi ziyaret edenlerin Mac bilgisayarlarına DazzleSpy makus emelli siber casusluk yazılımını kuran bir Safari programı kullanıyor. Amaçların Hong Kong’daki muhtemelen politik açıdan etkin, demokrasi yanlısı bireyler olduğu düşünülüyor. Güvenlik açığı, iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer alıyor. DazzleSpy yükü, birfazlaca siber casusluk hareketini gerçekleştirebiliyor. ESET Araştırma Ünitesi, bu operasyonun ardındaki kümenin kuvvetli teknik maharetlere sahip olduğunu belirtiyor.
ESET araştırmacıları, siteyi ziyaret edenlerin Mac bilgisayarlarına berbat maksatlı siber casusluk yazılımını kuran bir Safari programı yerleştirmek üzere Hong Kong demokrasi yanlısı radyo istasyonu D100’ün haber web sitesinin ihlale uğradığını keşfetti. Sitenin güvenlik açığına sahip ziyaretçilerine sızan berbat gayeli yazılım, ESET’in DazzleSpy olarak isimlendirdiği, yeni bir macOS berbat maksatlı yazılım. Makus maksatlı kod, geniş bir yelpazede hassas ve şahsi bilgi toplayabilme özelliğine sahiptir.
macOS’ta kullanılan Safari web tarayıcılarını amaç alan su kaynağı hücumları ile ilgili birinci rapor, Google tarafınca geçtiğimiz Ekim ayında yayınlandı. ESET araştırmacıları, Google ile birebir anda atakları araştırıyordu; gayeler ve kurbanların işletim sistemlerine sızmak için kullanılan berbat hedefli yazılım ile ilgili öteki detayları da ortaya çıkardılar. ESET, Google grubu tarafınca tanımlanan yamanın taarruzlarda kullanılan Safari güvenlik açığını onardığını onayladı.
Su kaynağı saldırısını araştıran Marc-Étienne Léveillé bu hususta şu biçimde diyor: “Tarayıcıda kod yürütmeye imkan sağlayan program pek karmaşık ve 1.000 satırdan fazla kod içeriyor. Birtakım kodların, güvenlik açığının iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer aldığını göstermesi enteresandır.”
Bu kampanya 2020 yılında gerçekleşen ve LightSpy iOS makûs maksatlı yazılımın tıpkı biçimde dağıtıldığı kampanyayla benzerlikler taşıyor. Bu kampanyalarda Hong Konglu vatandaşları bir WebKit programına yönlendirmek üzere web sitelerinde çerçeve enjeksiyonu kullanılıyor.
DazzleSpy yükü, birfazlaca siber casusluk aksiyonunu gerçekleştirebiliyor. İhlale uğrayan bilgisayar hakkında bilgi toplayabiliyor. Belirli belgeleri arayabiliyor; Masaüstü, İndirilenler ve Belgeler klasörlerindeki evrakları tarayabiliyor; verilen kabuk komutlarını yürütebiliyor; uzaktan bir ekran oturumu başlatabiliyor yahut sonlandırabiliyor. Verilen bir belgeyi diske yazabiliyor.
Bu kampanyada kullanılan programların karmaşıklığı göz önüne alındığında, ESET Araştırma Ünitesi, bu operasyonun gerisindeki kümenin kuvvetli teknik hünerlere sahip olduğu kararına vardı. Ayrıyeten DazzleSpy’da uçtan uca şifreleme bulunmasının, şifrelenmemiş transferi birinin gizlice izlemeye çalışması durumunda komuta ve denetim (C&C) sunucusuyla bağlantıya geçmeyeceği manasına gelmesi de farklı bulundu.
Bu tehdit aktörüyle ilgili diğer bir enteresan bulgu da, berbat maksatlı yazılımın, ihlale uğrayan bilgisayarda ele geçirdiği geçerli tarih ve saati C&C sunucusuna göndermedilk evvel Asya/Şangay saati dilimine (Çin Standart Saati olarak da bilinir) çeviriyor olması. Ayrıyeten DazzleSpy makûs hedefli yazılım biroldukca Çince iç bildiri da içeriyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
ESET araştırma takımının bilgilerine bakılırsa bir watering hole (su kaynağı) saldırısı, Hong Kong’daki demokrasi yanlısı radyo istasyonunun haber web sitesine sızdı. Saldırganlar, siteyi ziyaret edenlerin Mac bilgisayarlarına DazzleSpy makus emelli siber casusluk yazılımını kuran bir Safari programı kullanıyor. Amaçların Hong Kong’daki muhtemelen politik açıdan etkin, demokrasi yanlısı bireyler olduğu düşünülüyor. Güvenlik açığı, iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer alıyor. DazzleSpy yükü, birfazlaca siber casusluk hareketini gerçekleştirebiliyor. ESET Araştırma Ünitesi, bu operasyonun ardındaki kümenin kuvvetli teknik maharetlere sahip olduğunu belirtiyor.
ESET araştırmacıları, siteyi ziyaret edenlerin Mac bilgisayarlarına berbat maksatlı siber casusluk yazılımını kuran bir Safari programı yerleştirmek üzere Hong Kong demokrasi yanlısı radyo istasyonu D100’ün haber web sitesinin ihlale uğradığını keşfetti. Sitenin güvenlik açığına sahip ziyaretçilerine sızan berbat gayeli yazılım, ESET’in DazzleSpy olarak isimlendirdiği, yeni bir macOS berbat maksatlı yazılım. Makus maksatlı kod, geniş bir yelpazede hassas ve şahsi bilgi toplayabilme özelliğine sahiptir.
macOS’ta kullanılan Safari web tarayıcılarını amaç alan su kaynağı hücumları ile ilgili birinci rapor, Google tarafınca geçtiğimiz Ekim ayında yayınlandı. ESET araştırmacıları, Google ile birebir anda atakları araştırıyordu; gayeler ve kurbanların işletim sistemlerine sızmak için kullanılan berbat hedefli yazılım ile ilgili öteki detayları da ortaya çıkardılar. ESET, Google grubu tarafınca tanımlanan yamanın taarruzlarda kullanılan Safari güvenlik açığını onardığını onayladı.
Su kaynağı saldırısını araştıran Marc-Étienne Léveillé bu hususta şu biçimde diyor: “Tarayıcıda kod yürütmeye imkan sağlayan program pek karmaşık ve 1.000 satırdan fazla kod içeriyor. Birtakım kodların, güvenlik açığının iPhone XS ve daha yeni modeller üzere aygıtlar dahil olmak üzere iOS’da da yer aldığını göstermesi enteresandır.”
Bu kampanya 2020 yılında gerçekleşen ve LightSpy iOS makûs maksatlı yazılımın tıpkı biçimde dağıtıldığı kampanyayla benzerlikler taşıyor. Bu kampanyalarda Hong Konglu vatandaşları bir WebKit programına yönlendirmek üzere web sitelerinde çerçeve enjeksiyonu kullanılıyor.
DazzleSpy yükü, birfazlaca siber casusluk aksiyonunu gerçekleştirebiliyor. İhlale uğrayan bilgisayar hakkında bilgi toplayabiliyor. Belirli belgeleri arayabiliyor; Masaüstü, İndirilenler ve Belgeler klasörlerindeki evrakları tarayabiliyor; verilen kabuk komutlarını yürütebiliyor; uzaktan bir ekran oturumu başlatabiliyor yahut sonlandırabiliyor. Verilen bir belgeyi diske yazabiliyor.
Bu kampanyada kullanılan programların karmaşıklığı göz önüne alındığında, ESET Araştırma Ünitesi, bu operasyonun gerisindeki kümenin kuvvetli teknik hünerlere sahip olduğu kararına vardı. Ayrıyeten DazzleSpy’da uçtan uca şifreleme bulunmasının, şifrelenmemiş transferi birinin gizlice izlemeye çalışması durumunda komuta ve denetim (C&C) sunucusuyla bağlantıya geçmeyeceği manasına gelmesi de farklı bulundu.
Bu tehdit aktörüyle ilgili diğer bir enteresan bulgu da, berbat maksatlı yazılımın, ihlale uğrayan bilgisayarda ele geçirdiği geçerli tarih ve saati C&C sunucusuna göndermedilk evvel Asya/Şangay saati dilimine (Çin Standart Saati olarak da bilinir) çeviriyor olması. Ayrıyeten DazzleSpy makûs hedefli yazılım biroldukca Çince iç bildiri da içeriyor.
Kaynak: (BHA) – Beyaz Haber Ajansı