Googles Threat Analysis Group (TAG) har afsløret, at hackere, der målrettede besøgende på websteder i Hongkong, brugte en tidligere uoplyst eller nul -dag, fejl i macOS til at spionere på folk.
Apple rettede fejlen, sporet som CVE-2021-30869, i en macOS Catalina-opdatering i september, cirka en måned efter, at Google TAG-forskere fandt, at den blev brugt.
“Et ondsindet program kan muligvis udføre vilkårlig kode med kernerettigheder. Apple er opmærksomme på rapporter om, at der findes en udnyttelse af dette problem i naturen,” sagde Apple og krediterede Google TAG-forskere med at rapportere fejlen .
SE: En vindende strategi for cybersikkerhed(ZDNet-særrapport)
Nu har Google givet flere oplysninger og bemærket, at dette var et såkaldt “vandinghul”-angreb, hvor angribere vælger websteder til at gå på kompromis på grund af typiske besøgendes profil . Angrebene var rettet mod Mac- og iPhone-brugere.
“De websteder, der blev udnyttet til angrebene, indeholdt to iframes, som serverede udnyttelser fra en angriberkontrolleret server – den ene til iOS og den anden til macOS,” sagde Erye Hernandez fra Google TAG.
Vandhullet tjente en XNU-privilegieeskaleringssårbarhed på det tidspunkt upatchet i macOS Catalina, hvilket førte til installationen af en bagdør.
“Vi mener, at denne trusselsaktør er en gruppe med gode ressourcer, sandsynligvis stats- understøttet, med adgang til deres eget softwareingeniørteam baseret på kvaliteten af nyttelastkoden,” tilføjede han.
Angriberne brugte den tidligere afslørede fejl i XNU, sporet som CVE-2020-27932, og en relateret udnyttelse til at skabe en rettighedsforhøjelse-fejl, der gav dem root-adgang på en målrettet Mac.
Når root-adgang var opnået, downloadede angriberne en nyttelast, der kørte lydløst i baggrunden på inficerede Mac'er. Designet af malwaren antyder en angriber med gode ressourcer, ifølge Google TAG.
“Nyttelasten ser ud til at være et produkt af omfattende softwareudvikling. Den bruger en publicerings-abonner-model via en Data Distribution Service (DDS)-ramme til at kommunikere med C2. Den har også flere komponenter, hvoraf nogle ser ud til at være konfigureret som moduler “, bemærker Hernandez.
SE: Skysikkerhed i 2021: En forretningsvejledning til væsentlige værktøjer og bedste praksis
Bagdøren inkluderede den sædvanlige- mistænkelige træk ved malware bygget til at spionere på et mål, herunder enhedsfingeraftryk, skærmbilleder, evnen til at uploade og downloade filer samt udføre terminalkommandoer. Malwaren kunne også optage lyd og logge tastetryk.
Google afslørede ikke de målrettede websteder, men bemærkede, at de inkluderede et “medie og en fremtrædende pro-demokratisk arbejds- og politisk gruppe” relateret til Hong Kong-nyheder.
Sikkerhed
Exchange Server-fejl: Patch med det samme, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch Tirsdag: 55 fejl knust, to under aktiv udnyttelse. Mistænkte REvil-ransomware-tilknyttede selskaber anholdt Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 Sikkerheds-tv | Datastyring | CXO | Datacentre