Google сообщает об активной кампании, злоупотребляющей исправленной сейчас macOS Zero-Day
Команда исследователей, работающая с группой анализа угроз Google, сообщила о целевой вредоносной кампании, которая была сосредоточена на нескольких веб-сайтах Гонконга и нацелена на посетителей через уязвимость нулевого дня в macOS.
Хорошая новость заключается в том, что Apple исправила ошибку. Дефект отслеживался и кодировался под индексом CVE-2021-30869, и ему была присвоена оценка серьезности 7,8.
Команда Google сообщила об ошибке Apple, которая исправила ее в сентябре 2021 года в обновлении macOS для версии операционной системы Catalina. В своем отчете Apple сообщила, что уязвимость позволяет вредоносным приложениям «выполнять произвольный код с привилегиями ядра». Информация об ошибке в Национальной базе данных уязвимостей описывает ее как «смешение типов».
Теперь, когда с момента исправления уязвимости прошло достаточно времени, исследователи Google раскрыли дополнительную информацию об атаке.
Атака основывалась на вставке двух окон iframe в браузере внутрь веб-страницы, одна из которых предназначена для работы на iOS, а другая - на macOS. Оба фрейма извлекали эксплойты с сервера, которым управляли злоумышленники, стоящие за атаками.
Проанализировав полезную нагрузку и выяснив, что она очень сложная, Google также заявил, что это, скорее всего, работа команды очень высококвалифицированных, вероятно, поддерживаемых государством субъектов.
Злоумышленники использовали комбинацию уязвимости и эксплойта, которые вместе позволили им получить повышенные привилегии и в конечном итоге предоставили им root-доступ к системе Mac жертвы.
После получения корневого доступа хакеры незаметно загружали и развертывали последнюю полезную нагрузку, которая оставалась незамеченной в системе жертвы, отслеживая действия пользователя.
В опубликованном исследовании атаки конкретно не назывались веб-сайты, на которые шла атака, но упоминалось, что среди них были политическая группа и СМИ в Гонконге.