Google сообщает об активной кампании, злоупотребляющей исправленной сейчас macOS Zero-Day

Команда исследователей, работающая с группой анализа угроз Google, сообщила о целевой вредоносной кампании, которая была сосредоточена на нескольких веб-сайтах Гонконга и нацелена на посетителей через уязвимость нулевого дня в macOS.

Хорошая новость заключается в том, что Apple исправила ошибку. Дефект отслеживался и кодировался под индексом CVE-2021-30869, и ему была присвоена оценка серьезности 7,8.

Команда Google сообщила об ошибке Apple, которая исправила ее в сентябре 2021 года в обновлении macOS для версии операционной системы Catalina. В своем отчете Apple сообщила, что уязвимость позволяет вредоносным приложениям «выполнять произвольный код с привилегиями ядра». Информация об ошибке в Национальной базе данных уязвимостей описывает ее как «смешение типов».

Теперь, когда с момента исправления уязвимости прошло достаточно времени, исследователи Google раскрыли дополнительную информацию об атаке.

Атака основывалась на вставке двух окон iframe в браузере внутрь веб-страницы, одна из которых предназначена для работы на iOS, а другая - на macOS. Оба фрейма извлекали эксплойты с сервера, которым управляли злоумышленники, стоящие за атаками.

Проанализировав полезную нагрузку и выяснив, что она очень сложная, Google также заявил, что это, скорее всего, работа команды очень высококвалифицированных, вероятно, поддерживаемых государством субъектов.

Злоумышленники использовали комбинацию уязвимости и эксплойта, которые вместе позволили им получить повышенные привилегии и в конечном итоге предоставили им root-доступ к системе Mac жертвы.

После получения корневого доступа хакеры незаметно загружали и развертывали последнюю полезную нагрузку, которая оставалась незамеченной в системе жертвы, отслеживая действия пользователя.

В опубликованном исследовании атаки конкретно не назывались веб-сайты, на которые шла атака, но упоминалось, что среди них были политическая группа и СМИ в Гонконге.