Googles Threat Analysis Group (TAG) har avslöjat att hackare som riktade in sig på besökare till webbplatser i Hongkong använde en tidigare okänd, eller noll -dag, fel i macOS för att spionera på människor.
Apple korrigerade felet, spårat som CVE-2021-30869, i en macOS Catalina-uppdatering i september, ungefär en månad efter att Google TAG-forskare upptäckte att den användes.
“Ett skadligt program kanske kan exekvera godtycklig kod med kärnprivilegier. Apple är medvetet om rapporter om att ett utnyttjande för det här problemet existerar i naturen,” sa Apple och krediterade Google TAG-forskare med att ha rapporterat felet .
SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)
Nu har Google tillhandahållit mer information och noterat att detta var en så kallad “vattenhål”-attack, där angripare väljer webbplatser att kompromissa på grund av profilen hos typiska besökare . Attackerna riktade sig mot Mac- och iPhone-användare.
“Webbplatserna som utnyttjades för attackerna innehöll två iframes som serverade exploateringar från en angriparkontrollerad server – en för iOS och den andra för macOS”, säger Erye Hernandez från Google TAG.
Vattenhålet serverade en sårbarhet för eskalering av XNU-privilegier vid den tidpunkten som inte korrigerades i macOS Catalina, vilket ledde till installationen av en bakdörr.
“Vi tror att den här hotaktören är en grupp med bra resurser, troligen staten- uppbackade, med tillgång till sitt eget mjukvaruteknikteam baserat på kvaliteten på nyttolastkoden”, tillade han.
Angriparna använde det tidigare avslöjade felet i XNU, spårat som CVE-2020-27932, och en relaterad exploatering för att skapa en privilegieförhöjning bugg som gav dem root-åtkomst på en riktad Mac.
När root-åtkomst hade fåtts laddade angriparna ner en nyttolast som kördes tyst i bakgrunden på infekterade Mac-datorer. Utformningen av skadlig programvara tyder på en angripare med goda resurser, enligt Google TAG.
“Nyttlasten verkar vara en produkt av omfattande mjukvaruutveckling. Den använder en publicerings-prenumerationsmodell via ett Data Distribution Service (DDS) ramverk för att kommunicera med C2. Den har också flera komponenter, av vilka några verkar vara konfigurerade som moduler “, konstaterar Hernandez.
SE: Molnsäkerhet 2021: En affärsguide till viktiga verktyg och bästa praxis
Bakdörren innehöll den vanliga- misstänkta egenskaper hos skadlig programvara byggd för att spionera på ett mål, inklusive enhetsfingeravtryck, skärmdumpar, möjligheten att ladda upp och ladda ner filer, samt utföra terminalkommandon. Skadlig programvara kan också spela in ljud och logga tangenttryckningar.
Google avslöjade inte vilka webbplatser som riktades till sig men noterade att de inkluderade en “mediekanal och en framstående pro-demokratisk arbetar- och politisk grupp” med anknytning till nyheter från Hongkong.
Säkerhet
Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig ransomware-betalning för amerikanska offer för mer än 6 miljoner USD Microsoft Patch Tisdag: 55 buggar klämda, två under aktiv exploatering. Misstänkt REvil ransomware-affiliates greps Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel för $29 Säkerhets-TV | Datahantering | CXO | Datacenter