Google Detaljer Aktiv kampagne misbruger nu-patched macOS Zero-Day

Et team af forskere, der arbejder med Googles Threat Analysis Group, informerede om en målrettet ondsindet kampagne, der var fokuseret på flere Hongkong-websteder, og målrettede besøgende på dem gennem en nul-dages sårbarhed i macOS.

Den gode nyhed er, at fejlen nu er blevet rettet af Apple. Fejlen blev sporet og kodificeret under CVE-2021-30869-betegnelsen, og den blev tildelt en alvorlighedsscore på 7,8.

Google-teamet rapporterede fejlen til Apple, som rettede den behørigt i en macOS-opdatering fra september 2021 til Catalina-versionen af operativsystemet. I deres rapport sagde Apple, at fejlen tillod ondsindede programmer at "udføre vilkårlig kode med kernerettigheder". Oplysningerne om fejlen i National Vulnerability Database beskriver det som en "typeforvirring".

Nu hvor der er gået tilstrækkelig lang tid, siden fejlen var blevet rettet, afslørede Googles forskere yderligere oplysninger om angrebet.

Angrebet var afhængig af at indsætte to browser-iframes på en webside, den ene designet til at fungere på iOS og den anden på macOS. Begge frames trak udnyttelser fra en server drevet af de dårlige aktører bag angrebene.

Efter at have analyseret nyttelasten og fundet ud af, at den var meget sofistikeret, udtalte Google også, at det sandsynligvis var håndværket af et team af meget dygtige, sandsynligvis statsstøttede skuespillere.

Trusselsaktørerne brugte en kombination af en sårbarhed og en udnyttelse, som tilsammen gav dem mulighed for at opnå forhøjede privilegier og til sidst gav dem root-adgang til ofrets Mac-system.

Når root-adgang var opnået, ville hackerne stille og roligt downloade og implementere den endelige nyttelast, som ville sidde på offersystemet uopdaget og spionere på brugerens aktivitet.

Den forskning, der blev offentliggjort om angrebet, navngav ikke specifikt de websteder, der var målrettet i angrebet, men nævnte, at blandt dem var en politisk gruppe og et medie i Hong Kong.