Dettagli Google Campagna attiva che abusa ora di macOS Zero-Day con patch

Un team di ricercatori che lavorano con il Threat Analysis Group di Google ha informato di una campagna dannosa mirata che si è concentrata su diversi siti Web di Hong Kong, prendendo di mira i visitatori attraverso una vulnerabilità zero-day in macOS.

La buona notizia è che il bug è stato corretto da Apple. Il difetto è stato tracciato e codificato con il designatore CVE-2021-30869 e gli è stato assegnato un punteggio di gravità di 7,8.

Il team di Google ha segnalato il bug ad Apple che lo ha debitamente risolto in un aggiornamento macOS del settembre 2021 alla versione Catalina del sistema operativo. Nel loro rapporto, Apple ha affermato che il difetto consentiva alle applicazioni dannose di "eseguire codice arbitrario con i privilegi del kernel". Le informazioni sul bug nel National Vulnerability Database lo descrivono come una "confusione di tipo".

Ora che è trascorso un periodo di tempo adeguato da quando il difetto è stato corretto, i ricercatori di Google hanno rivelato ulteriori informazioni sull'attacco.

L'attacco si è basato sull'inserimento di due iframe del browser all'interno di una pagina Web, uno progettato per funzionare su iOS e l'altro su macOS. Entrambi i frame hanno estratto exploit da un server gestito dai malintenzionati dietro gli attacchi.

Dopo aver analizzato il carico utile e scoperto che era altamente sofisticato, Google ha anche affermato che probabilmente era opera di un team di attori molto altamente qualificati e probabilmente sostenuti dallo stato.

Gli autori delle minacce hanno utilizzato una combinazione di vulnerabilità e exploit, che insieme hanno permesso loro di ottenere privilegi elevati e alla fine hanno concesso loro l'accesso root al sistema Mac della vittima.

Una volta ottenuto l'accesso root, gli hacker scaricavano e distribuivano silenziosamente il payload finale, che rimaneva inosservato sul sistema vittima, spiando l'attività dell'utente.

La ricerca pubblicata sull'attacco non nominava specificamente i siti web che erano stati presi di mira nell'attacco, ma menzionava che tra questi c'erano un gruppo politico e un media di Hong Kong.

November 12, 2021