Google-detaljer Aktiv kampanje misbruker nå-patchet macOS Zero-Day

Et team av forskere som jobber med Googles Threat Analysis Group informerte om en målrettet ondsinnet kampanje som var fokusert på flere Hong Kong-nettsteder, rettet mot besøkende på dem gjennom en null-dagers sårbarhet i macOS.

Den gode nyheten er at feilen nå er rettet ut av Apple. Feilen ble sporet og kodifisert under CVE-2021-30869-betegnelsen, og den ble tildelt en alvorlighetsgrad på 7,8.

Google-teamet rapporterte feilen til Apple som behørig fikset den i en macOS-oppdatering fra september 2021 til Catalina-versjonen av operativsystemet. I rapporten deres sa Apple at feilen tillot ondsinnede applikasjoner å "utføre vilkårlig kode med kjerneprivilegier". Informasjonen om feilen i National Vulnerability Database beskriver den som en "typeforvirring".

Nå som det har gått tilstrekkelig lang tid siden feilen ble rettet, avslørte Googles forskere ytterligere informasjon om angrepet.

Angrepet var avhengig av å sette inn to nettleser-iframes på en nettside, den ene designet for å fungere på iOS og den andre på macOS. Begge rammene hentet utnyttelser fra en server drevet av de dårlige aktørene bak angrepene.

Etter å ha analysert nyttelasten og funnet ut at den var svært sofistikert, uttalte Google også at det sannsynligvis var håndverket til et team av svært dyktige, sannsynligvis statsstøttede skuespillere.

Trusselaktørene brukte en kombinasjon av en sårbarhet og en utnyttelse, som sammen tillot dem å få forhøyede privilegier og til slutt ga dem root-tilgang til offerets Mac-system.

Når root-tilgang var oppnådd, ville hackerne stille ned og distribuere den endelige nyttelasten, som ville sitte på offersystemet uoppdaget, og spionere på brukerens aktivitet.

Forskningen som ble publisert om angrepet nevnte ikke spesifikt nettstedene som var målrettet i angrepet, men nevnte at blant dem var en politisk gruppe og et medieutsalg i Hong Kong.