Στοιχεία Google Ενεργή καμπάνια κατάχρησης που έχει επιδιορθωθεί τώρα στο macOS Zero-Day

Μια ομάδα ερευνητών που συνεργάζεται με την ομάδα ανάλυσης απειλών της Google ενημέρωσε για μια στοχευμένη κακόβουλη καμπάνια που επικεντρώθηκε σε αρκετούς ιστότοπους του Χονγκ Κονγκ, στοχεύοντας τους επισκέπτες σε αυτούς μέσω μιας ευπάθειας zero-day στο macOS.

Τα καλά νέα είναι ότι το σφάλμα έχει πλέον διορθωθεί από την Apple. Το ελάττωμα εντοπίστηκε και κωδικοποιήθηκε με τον προσδιορισμό CVE-2021-30869 και του αποδόθηκε βαθμολογία σοβαρότητας 7,8.

Η ομάδα της Google ανέφερε το σφάλμα στην Apple, η οποία το διόρθωσε δεόντως σε μια ενημέρωση macOS του Σεπτεμβρίου 2021 στην έκδοση Catalina του λειτουργικού συστήματος. Στην έκθεσή της, η Apple είπε ότι το ελάττωμα επέτρεπε στις κακόβουλες εφαρμογές να "εκτελούν αυθαίρετο κώδικα με δικαιώματα πυρήνα". Οι πληροφορίες σχετικά με το σφάλμα στην Εθνική βάση δεδομένων ευπάθειας το περιγράφουν ως "σύγχυση τύπου".

Τώρα που έχει περάσει αρκετός χρόνος από την επιδιόρθωση του ελαττώματος, οι ερευνητές της Google αποκάλυψαν πρόσθετες πληροφορίες σχετικά με την επίθεση.

Η επίθεση βασίστηκε στην εισαγωγή δύο iframe προγράμματος περιήγησης μέσα σε μια ιστοσελίδα, το ένα σχεδιασμένο να λειτουργεί σε iOS και το άλλο για macOS. Και τα δύο καρέ άντλησαν exploits από έναν διακομιστή που λειτουργούσε από τους κακούς ηθοποιούς πίσω από τις επιθέσεις.

Αφού ανέλυσε το ωφέλιμο φορτίο και ανακάλυψε ότι ήταν εξαιρετικά εξελιγμένο, η Google δήλωσε επίσης ότι ήταν πιθανότατα το έργο μιας ομάδας πολύ εξειδικευμένων, πιθανώς υποστηριζόμενων από το κράτος ηθοποιών.

Οι φορείς απειλών χρησιμοποίησαν έναν συνδυασμό ευπάθειας και εκμετάλλευσης, που μαζί τους επέτρεψε να αποκτήσουν αυξημένα προνόμια και τελικά τους παρείχαν πρόσβαση root στο σύστημα Mac του θύματος.

Μόλις αποκτούσαν πρόσβαση root, οι χάκερ θα κατέβαζαν και θα ανέπτυξαν αθόρυβα το τελικό ωφέλιμο φορτίο, το οποίο θα καθόταν στο σύστημα του θύματος απαρατήρητο, κατασκοπεύοντας τη δραστηριότητα του χρήστη.

Η έρευνα που δημοσιεύτηκε για την επίθεση δεν κατονόμασε συγκεκριμένα τις ιστοσελίδες που έγιναν στόχος της επίθεσης, αλλά ανέφερε ότι μεταξύ αυτών ήταν μια πολιτική ομάδα και ένα μέσο ενημέρωσης στο Χονγκ Κονγκ.