Waarom hackers zich richten op webservers met malware en hoe u die van u kunt beschermen Nu bekijken
Google's Threat Analysis Group (TAG) heeft onthuld dat hackers die zich richten op bezoekers van websites in Hong Kong een voorheen niet bekendgemaakte of nul -day, fout in macOS om mensen te bespioneren.
Apple heeft de bug, bijgehouden als CVE-2021-30869, gepatcht in een macOS Catalina-update in september, ongeveer een maand nadat Google TAG-onderzoekers ontdekten dat deze werd gebruikt.
“Een kwaadwillende toepassing kan willekeurige code uitvoeren met kernelprivileges. Apple is op de hoogte van berichten dat er in het wild een exploit voor dit probleem bestaat”, zei Apple, waarbij hij de Google TAG-onderzoekers crediteerde voor het rapporteren van de fout .
ZIE: Een winnende strategie voor cyberbeveiliging(ZDNet speciaal rapport)
Nu heeft Google meer informatie verstrekt, waarbij wordt opgemerkt dat dit een zogenaamde “watering hole” -aanval was, waarbij aanvallers websites selecteren om te compromitteren vanwege het profiel van typische bezoekers . De aanvallen waren gericht op Mac- en iPhone-gebruikers.
“De websites die voor de aanvallen werden gebruikt, bevatten twee iframes die misbruiken van een door een aanvaller gecontroleerde server – een voor iOS en de andere voor macOS”, zegt Erye Hernandez van Google TAG.
De waterpoel had op dat moment een kwetsbaarheid voor escalatie van XNU-privileges, niet gepatcht in macOS Catalina, wat leidde tot de installatie van een achterdeur.
“We denken dat deze dreigingsactor een goed toegeruste groep is, waarschijnlijk staats- ondersteund, met toegang tot hun eigen software-engineeringteam op basis van de kwaliteit van de payload-code”, voegde hij eraan toe.
De aanvallers gebruikten de eerder onthulde fout in XNU, bijgehouden als CVE-2020-27932, en een gerelateerde exploit om een misbruik van bevoegdheden te creëren waardoor ze root-toegang kregen op een gerichte Mac.
Zodra root-toegang verkregen was, downloadden de aanvallers een payload die stil op de achtergrond draaide op geïnfecteerde Macs. Het ontwerp van de malware suggereert een goed uitgeruste aanvaller, aldus Google TAG.
“De payload lijkt een product te zijn van uitgebreide software-engineering. Het gebruikt een publish-subscribe-model via een Data Distribution Service (DDS)-framework voor communicatie met de C2. Het heeft ook verschillende componenten, waarvan sommige als modules lijken te zijn geconfigureerd ', merkt Hernandez op.
ZIE: Cloudbeveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
De achterdeur omvatte de gebruikelijke- verdachte eigenschappen van malware die is gebouwd om een doelwit te bespioneren, waaronder vingerafdrukken van apparaten, schermafbeeldingen, de mogelijkheid om bestanden te uploaden en te downloaden en terminalopdrachten uit te voeren. De malware kan ook audio opnemen en toetsaanslagen loggen.
Google heeft de getargete websites niet bekendgemaakt, maar merkte op dat ze een “media-outlet en een prominente pro-democratische arbeiders- en politieke groep” bevatten met betrekking tot nieuws uit Hong Kong.
Beveiliging
Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actieve exploitatie Vermoedelijke REvil ransomware-filialen gearresteerd Het beste phishing-doelwit? Uw smartphone Waarom u deze beveiligingssleutel van $ 29 nodig heeft Security TV | Gegevensbeheer | CXO | Datacenters