MacOS曝出零日漏洞,有攻擊者借此針對中文用戶
據(jù)谷歌TAG研究人員上周四(2021年11月11日)透露,他們在8月下旬發(fā)現(xiàn)了一個惡意軟件攻擊。不法分子利用macOS 操作系統(tǒng)一個炙手可熱的零日漏洞,向香港一家媒體機構(gòu)和一個著名民主勞工組織的網(wǎng)站發(fā)起了攻擊。除此之外,谷歌并未透露其他受害者信息。
該漏洞編號為CVE-2021-30869(CVSS 分數(shù):7.8),惡意應(yīng)用程序能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。9月下旬,蘋果修復了這一漏洞。隨著谷歌安全人員的進一步披露,該漏洞和攻擊事件才逐漸被人們知曉。
在此次攻擊事件中,不法分子還將另外一個漏洞(編號:CVE-2021-1789)串聯(lián)起來組成攻擊鏈,以便可以控制受害設(shè)備來安裝他們的惡意軟件。TAG 無法分析完整的 iOS 漏洞利用鏈,但確定了黑客用來發(fā)起攻擊的關(guān)鍵 Safari 漏洞。
值得注意的是,此次攻擊中曝出了一個之前從未出現(xiàn)的后門,據(jù)VirusTotal 的后門樣本顯示,目前沒有一個反惡意軟件引擎可以檢測出來。其特點是 "廣泛的軟件工程",具有記錄音頻和擊鍵、指紋設(shè)備、捕獲屏幕、下載和上傳任意文件以及執(zhí)行惡意終端命令的能力。
谷歌安全人員指出,這是一種典型的水坑攻擊,攻擊者根據(jù)訪問者的個人資料選擇要攻陷的網(wǎng)站,其攻擊對象是 Mac 和 iPhone 用戶。該水坑提供了一個 XNU 權(quán)限提升漏洞,當時在 macOS Catalina 中未修補。
結(jié)合目前的信息來看,有安全專家表示這很可能是一起針對性的網(wǎng)絡(luò)攻擊。谷歌TAG 研究員認為,攻擊團隊的資源非同一般的豐富,可能是得到了某些國家或地區(qū)的支持。
攻擊者利用先前披露的 XNU 漏洞(編號為 CVE-2020-27932)和相關(guān)漏洞來創(chuàng)建特權(quán)提升漏洞,使他們能夠在目標 Mac 上獲得 root 訪問權(quán)限。
一旦獲得 root 訪問權(quán)限,攻擊者就會下載一個有效負載,該負載在受感染的 Mac 上在后臺靜默運行。谷歌人員結(jié)合調(diào)查結(jié)果和這些信息,判斷這是一個攻擊資源十分豐富的團隊。
安全研究員帕特里克·沃德爾認同這個判斷,因為其二進制文件安裝后是通過中文來顯示錯誤信息,這意味著該惡意軟件很有可能是面向中國用戶。該惡意軟件通過社會工程方法進行部署,其2021版本正是為遠程開發(fā)設(shè)計。
參考來源:https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html