A Google Részletek Aktív, visszaélésszerű kampányokkal – Most javított macOS nulladik napja

A Google Threat Analysis Groupjával együttműködő kutatócsoport egy célzott rosszindulatú kampányról tájékoztatott, amely több hongkongi webhelyre összpontosított, és a macOS nulladik napi sebezhetőségén keresztül célozta meg a látogatókat.

A jó hír az, hogy a hibát az Apple már kijavította. A hiba nyomon követése és kódolása a CVE-2021-30869 jelöléssel történt, és 7,8-as súlyossági pontszámot kapott.

A Google csapata jelentette a hibát az Apple-nek, aki megfelelően kijavította azt az operációs rendszer Catalina verziójának 2021. szeptemberi macOS-frissítésében. Jelentésükben az Apple azt mondta, hogy a hiba lehetővé tette a rosszindulatú alkalmazások számára, hogy "tetszőleges kódot hajtsanak végre kerneljogokkal". A Nemzeti Sérülékenységi Adatbázisban található információ a hibáról "típuszavarnak" nevezi.

Most, hogy elegendő idő telt el a hiba kijavítása óta, a Google kutatói további információkat tártak fel a támadásról.

A támadás azon alapult, hogy két böngésző iframe-et helyeztek be egy weboldalba, az egyiket iOS-en, a másikat pedig macOS-en. Mindkét keret a támadások mögött álló rossz szereplők által üzemeltetett szerverről húzott ki exploitokat.

Miután elemezte a hasznos terhet, és megállapította, hogy rendkívül kifinomult, a Google azt is kijelentette, hogy ez valószínűleg egy nagyon magasan képzett, valószínűleg államilag támogatott szereplőkből álló csapat keze munkája.

A fenyegetés szereplői egy sebezhetőség és egy kizsákmányolás kombinációját alkalmazták, ami együttesen lehetővé tette számukra, hogy magasabb jogosultságokat szerezzenek, és végül root hozzáférést biztosítottak számukra az áldozat Mac rendszeréhez.

Miután megszerezték a root hozzáférést, a hackerek csendben letöltötték és telepítették a végső hasznos terhelést, amely észrevétlenül ül az áldozat rendszerén, és kémkedett a felhasználó tevékenysége után.

A támadásról közzétett kutatás nem nevezte meg konkrétan a támadás célpontjaként szolgáló webhelyeket, de megemlítette, hogy köztük van egy politikai csoport és egy hongkongi média.

November 12, 2021