據(jù)谷歌TAG研究人員上周四(2021年11月11日)透露，他們在8月下旬發(fā)現(xiàn)了一個惡意軟件攻擊。不法分子利用macOS 操作系統(tǒng)一個炙手可熱的零日漏洞，向香港一家媒體機構(gòu)和一個著名民主勞工組織的網(wǎng)站發(fā)起了攻擊。除此之外，谷歌并未透露其他受害者信息。

該漏洞編號為CVE-2021-30869(CVSS 分數(shù)：7.8)，惡意應(yīng)用程序能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。9月下旬，蘋果修復了這一漏洞。隨著谷歌安全人員的進一步披露，該漏洞和攻擊事件才逐漸被人們知曉。

在此次攻擊事件中，不法分子還將另外一個漏洞(編號：CVE-2021-1789)串聯(lián)起來組成攻擊鏈，以便可以控制受害設(shè)備來安裝他們的惡意軟件。TAG 無法分析完整的 iOS 漏洞利用鏈，但確定了黑客用來發(fā)起攻擊的關(guān)鍵 Safari 漏洞。

值得注意的是，此次攻擊中曝出了一個之前從未出現(xiàn)的后門，據(jù)VirusTotal 的后門樣本顯示，目前沒有一個反惡意軟件引擎可以檢測出來。其特點是 "廣泛的軟件工程"，具有記錄音頻和擊鍵、指紋設(shè)備、捕獲屏幕、下載和上傳任意文件以及執(zhí)行惡意終端命令的能力。

谷歌安全人員指出，這是一種典型的水坑攻擊，攻擊者根據(jù)訪問者的個人資料選擇要攻陷的網(wǎng)站，其攻擊對象是 Mac 和 iPhone 用戶。該水坑提供了一個 XNU 權(quán)限提升漏洞，當時在 macOS Catalina 中未修補。

結(jié)合目前的信息來看，有安全專家表示這很可能是一起針對性的網(wǎng)絡(luò)攻擊。谷歌TAG 研究員認為，攻擊團隊的資源非同一般的豐富，可能是得到了某些國家或地區(qū)的支持。

攻擊者利用先前披露的 XNU 漏洞(編號為 CVE-2020-27932)和相關(guān)漏洞來創(chuàng)建特權(quán)提升漏洞，使他們能夠在目標 Mac 上獲得 root 訪問權(quán)限。

一旦獲得 root 訪問權(quán)限，攻擊者就會下載一個有效負載，該負載在受感染的 Mac 上在后臺靜默運行。谷歌人員結(jié)合調(diào)查結(jié)果和這些信息，判斷這是一個攻擊資源十分豐富的團隊。

安全研究員帕特里克·沃德爾認同這個判斷，因為其二進制文件安裝后是通過中文來顯示錯誤信息，這意味著該惡意軟件很有可能是面向中國用戶。該惡意軟件通過社會工程方法進行部署，其2021版本正是為遠程開發(fā)設(shè)計。

參考來源：https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html