Операция «Отравленные новости»: пользователи iOS из Гонконга подверглись атакам «watering hole»

Операция «Отравленные новости». Эксперты наблюдали за кампанией, направленной на заражение айфонов пользователей в Гонконге бэкдором для iOS, который позволяет злоумышленникам шпионить за ними.

Эксперты по безопасности в Trend Micro наблюдали кампанию, направленную на заражение айфонов пользователей в Гонконге с помощью бэкдора iOS, отслеживаемого как lightSpy.

Злоумышленники использовали вредоносные ссылки, распространяемые через сообщения на популярных в Гонконге форумах, что привело пользователей к реальным новостным сайтам, которые были скомпрометированы внедрением скрытого iframe, который загружал и запускал вредоносное ПО.

 

«Недавно обнаруженная атака «watering hole» была нацелена на пользователей iOS в Гонконге. В кампании используются ссылки, размещенные на нескольких форумах, которые якобы ведут к различным новостям. Хотя эти ссылки ведут пользователей на реальные новостные сайты, они также используют скрытый iframe для загрузки и выполнения вредоносного кода ».

Атака использует недостатки безопасности, затрагивающие устройства iOS 12.1 и 12.2, бэкдор lightSpy - это модульная вредоносная программа, которая полностью контролирует целевые устройства.

Бэкдор поддерживает эксфильтрацию истории подключенного Wi-Fi, контактов, местоположения GPS, информации об оборудовании, связки ключей iOS, истории телефонных звонков, истории браузера Safari и Chrome, SMS-сообщений и IP-адресов локальной сети. Вредоносная программа также нацелена на популярные мессенджеры, такие как Telegram, QQ и WeChat.

Эксперты Trend Micro обнаружили аналогичную кампанию, нацеленную на устройства Android в 2019 году, участники которой распространяли вредоносные APK-файлы по каналам Telegram, связанным с Гонконгом. Исследователи отслеживали семейство вредоносных программ для Android как dmsSpy (AndroidOS_dmsSpyA), анализ целей кампании показывает, что это было частью деятельности по наблюдению под названием Operation Poisoned News.

19 февраля компания Trend Micro обнаружила атаку с «watering hole», нацеленную на пользователей iOS с URL-адресами, указывающими на вредоносный веб-сайт, содержащий три фрейма, указывающих на разные сайты.

«Единственный видимый iframe ведет к законному новостному сайту, который заставляет людей верить, что они посещают указанный сайт. Один невидимый iframe был использован для анализа веб-сайта; другой привел к созданию сайта, на котором размещен основной сценарий эксплойтов iOS ».  «Ссылки на эти вредоносные сайты были размещены на четырех разных форумах, которые, как известно, пользуются популярностью у жителей Гонконга. Эти форумы также предоставляют своим пользователям приложение, так что их читатели могут легко посетить его на своих мобильных устройствах. «Отравленные новости» разместили свои ссылки в разделах общего обсуждения указанных форумов. Пост будет содержать заголовок данной новости, любые сопроводительные изображения и (поддельную) ссылку на новостной сайт».

Злоумышленники поделились ссылками на форумах, популярных у жителей Гонконга, в качестве приманки они использовали либо заголовки, связанные с полом, кликбэйт-заголовки, либо новости о вспышке COVID-19.

Эксперты обнаружили второй тип атаки «watering hole», в котором использовался клон легитимного сайта, в который был введен фрейм. Атака началась 2 января, но до сих пор неясно, как злоумышленники распространяли ссылки на эти сайты,

Анализ цепочки эксплойтов показал, что проблема Safari с патчами и скрытыми исправлениями была использована в эксплойтах ядра, использующих уязвимость CVE-2019-8605, которая позволяла злоумышленникам получать привилегии root.

"Вместе взятые, эта угроза позволяет субъекту угрозы полностью скомпрометировать уязвимое устройство и получить большую часть того, что пользователь считает конфиденциальной информацией. Несколько приложений для чата, популярных на гонконгском рынке, были специально нацелены на это, что позволяет предположить, что это были цели действующего лица.