据谷歌TAG上周四(2021年11月11日),研究人员透露,他们在8月下旬发现了恶意软件攻击。罪犯使用它macOS 操作系统的一个热点漏洞攻击了香港一家媒体机构和一家著名的民主劳动组织网站。此外,谷歌还没有透露其他受害者的信息。
漏洞编号为CVE-2021-30869(CVSS 分数:7.8),恶意应用程序可以使用内核权限执行任何代码。苹果在9月底修复了这个漏洞。随着谷歌安全人员的进一步披露,这个漏洞和攻击逐渐为人们所知。
犯罪分子在这次攻击中还会有另一个漏洞(编号:CVE-2021-1789)将攻击链串联起来,以控制受害安装恶意软件。TAG 不能分析完整的 iOS 漏洞使用链,但确定了黑客攻击的关键 Safari 漏洞。
值得注意的是,一个以前从未出现过的后门在这次攻击中被曝光。VirusTotal 后门样本显示,目前还没有反恶意软件引擎可以检测到。其特点是 "软件工程广泛",有能力记录音频和键、指纹设备、捕获屏幕、下载和上传任何文件以及执行恶意终端命令。
谷歌安全人员指出,这是一种典型的水坑攻击,攻击者根据访问者的个人信息选择攻击网站,攻击对象是 Mac 和 iPhone 用户XNU 当时在 权限提升漏洞macOS Catalina 未修复。
根据目前的信息,一些安全专家表示,这可能是有针对性的网络攻击。TAG 研究人员认为,攻击队的资源非常丰富,可能得到了一些国家或地区的支持。
攻击者利用先前披露的 XNU 漏洞(编号为 CVE-2020-27932)创相关漏洞创造特权提升漏洞,让他们在目标 Mac 上获得 root 访问权限。
一旦获得 root 访问权限,攻击者将在感染 下载有效负载Mac 在后台静静地运行。谷歌人员结合调查结果和信息,判断这是一支攻击资源丰富的团队。
帕特里克,安全研究员·沃德尔同意这一判断,因为第二个进制文件在安装后通过中文显示错误信息,这意味着恶意软件很可能面向中国用户。恶意软件部署在社会工程中,其2021版本是为远程开发设计的。
参考来源:https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html