黑客利用macOS零日漏洞攻擊香港用戶

谷歌( Google )研究人員周四披露，他們?cè)?8 月底發(fā)現(xiàn)了一個(gè)利用 macOS 操作系統(tǒng)中現(xiàn)已打上補(bǔ)丁的“零日”( zero - day )進(jìn)行攻擊的漏洞，攻擊目標(biāo)是與一家媒體和一個(gè)支持民主的知名勞工和政治團(tuán)體有關(guān)的香港網(wǎng)站，目的是在遭到攻擊的機(jī)器上提供一個(gè)從未見(jiàn)過(guò)的后門(mén)。
“根據(jù)我們的調(diào)查結(jié)果，我們認(rèn)為這個(gè)威脅行為者是一個(gè)資源充足的群體，可能有國(guó)家支持，根據(jù)有效負(fù)載代碼的質(zhì)量，可以訪問(wèn)他們自己的軟件工程團(tuán)隊(duì)，”谷歌威脅分析小組（ TAG ）研究員埃爾耶·埃爾南德斯在一份報(bào)告中說(shuō)。
追蹤到 CVE - 2021 - 30869（ CV SS 評(píng)分：7.8分）安全缺陷涉及一個(gè)類型混淆漏洞，該漏洞會(huì)影響 X NU 內(nèi)核組件，從而導(dǎo)致惡意應(yīng)用程序以最高權(quán)限執(zhí)行任意代碼。
蘋(píng)果最初將 macOS Big Sur 設(shè)備的問(wèn)題作為 2 月 1 日發(fā)貨的安全更新的一部分來(lái)解決，但在 9 月 23 日有報(bào)道稱在野生環(huán)境中被利用后，蘋(píng)果又推出了針對(duì) macos Catalina 設(shè)備的獨(dú)立更新——兩個(gè)補(bǔ)丁之間的差距為 234 天——這突顯了一個(gè)案例，即在解決操作系統(tǒng)不同版本之間的漏洞時(shí)出現(xiàn)的不一致，可能會(huì)被威脅參與者利用為自己的優(yōu)勢(shì)。
TAG 觀察到的攻擊涉及一個(gè)串聯(lián)在一起的 CVE - 2021 - 1789 漏洞鏈，WebKit 中的一個(gè)遠(yuǎn)程代碼執(zhí)行 bug 于 2021 年 2 月修復(fù)，前面提到的 CVE - 2021 - 30869 可以突破 Safari 沙箱，提升權(quán)限，從遠(yuǎn)程服務(wù)器下載并執(zhí)行名為“ MA CMA ”的第二階段有效負(fù)載。
Google TAG 稱，這款此前未被證的惡意軟件是一款功能齊全的植入軟件，其特點(diǎn)是“廣泛的軟件工程”，具有記錄音頻和擊鍵、為設(shè)備采集指紋、捕捉屏幕、下載和上傳任意文件以及執(zhí)行惡意終端命令的功能。上傳到 Virus Total 的后門(mén)示例顯示，目前沒(méi)有反惡意軟件引擎檢測(cè)到文件為惡意。
據(jù)安全研究員 Patrick Wardle 稱， 2019 年的 MA CMA 變種偽裝成 Adobe Flash Player ，二進(jìn)制文件在安裝后顯示中文錯(cuò)誤信息，表明“該惡意軟件面向中國(guó)用戶”，“該版本的惡意軟件旨在通過(guò)社會(huì)工程方法部署。“而 2021 版本則是為遠(yuǎn)程開(kāi)發(fā)而設(shè)計(jì)的。
這些網(wǎng)站含有惡意代碼，從一個(gè)攻擊者控制的服務(wù)器服務(wù)漏洞，也作為一個(gè)水坑目標(biāo) iOS 用戶，盡管使用不同的漏洞鏈交付給受害者的瀏覽器。Google TAG 表示，它只能恢復(fù)部分感染流，其中一個(gè)類型混淆 bug （ CVE - 2019 - 8506 ）被用于在 Safari 中獲得代碼執(zhí)行。
與該運(yùn)動(dòng)有關(guān)的其他妥協(xié)指標(biāo)( IOC )可在此查閱。
文章轉(zhuǎn)載自PLA云計(jì)算