Googles trusselanalysegruppe (TAG) har avslørt at hackere som retter seg mot besøkende til nettsteder i Hong Kong brukte en tidligere ikke avslørt, eller null -dag, feil i macOS for å spionere på folk.
Apple lappet feilen, sporet som CVE-2021-30869, i en macOS Catalina-oppdatering i september, omtrent en måned etter at Google TAG-forskere fant at den ble brukt.
“En ondsinnet applikasjon kan være i stand til å kjøre vilkårlig kode med kjerneprivilegier. Apple er klar over rapporter om at en utnyttelse for dette problemet eksisterer i naturen,” sa Apple og krediterte Google TAG-forskere for å ha rapportert feilen.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Nå har Google gitt mer informasjon, og bemerket at dette var et såkalt «vannhull»-angrep, der angripere velger nettsteder som skal kompromitteres på grunn av profilen til typiske besøkende. Angrepene var rettet mot Mac- og iPhone-brukere.
“Nettstedene som ble utnyttet for angrepene inneholdt to iframes som serverte utnyttelser fra en angriperkontrollert server – en for iOS og den andre for macOS,” sa Erye Hernandez fra Google TAG.
Vanningshullet tjente en XNU-privilegieeskaleringssårbarhet på det tidspunktet uopprettet i macOS Catalina, noe som førte til installasjonen av en bakdør.
“Vi tror denne trusselaktøren er en ressurssterk gruppe, sannsynligvis statsstøttet, med tilgang til sitt eget programvareingeniørteam basert på kvaliteten på nyttelastkoden,” la han til.
Angriperne brukte den tidligere avslørte feilen i XNU, sporet som CVE-2020-27932, og en relatert utnyttelse for å lage en rettighetsforhøyelse-feil som ga dem root-tilgang på en målrettet Mac.
Når root-tilgang ble oppnådd, lastet angriperne ned en nyttelast som kjørte stille i bakgrunnen på infiserte Mac-er. Utformingen av skadevaren antyder en angriper med gode ressurser, ifølge Google TAG.
“Nyttelasten ser ut til å være et produkt av omfattende programvareutvikling. Den bruker en publiserings-abonner-modell via et Data Distribution Service-rammeverk (DDS) for å kommunisere med C2. Den har også flere komponenter, noen av som ser ut til å være konfigurert som moduler,” bemerker Hernandez.
SE: Skysikkerhet i 2021: En bedriftsguide til viktige verktøy og beste fremgangsmåter
Bakdøren inkluderte de vanlige mistenkte egenskapene til skadelig programvare bygget for å spionere på et mål, inkludert enhetsfingeravtrykk, skjermbilder, muligheten til å laste opp og laste ned filer, samt utføre terminalkommandoer. Skadevaren kan også ta opp lyd og logge tastetrykk.
Google avslørte ikke nettstedene som ble målrettet mot, men bemerket at de inkluderte et «medieutsalg og en fremtredende pro-demokratisk arbeider- og politisk gruppe» relatert til Hong Kong-nyheter.
Sikkerhet
Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig ransomware-betaling for amerikanske ofre mer enn $6 millioner Microsoft Patch tirsdag: 55 bugs knust, to under aktiv utnyttelse Mistenkt REvil løsepenge-tilknyttede selskaper arrestert Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 Security TV | Databehandling | CXO | Datasentre