Google Detaljer Active Campaign Missbruk Nu-patchad macOS Zero-Day

Ett team av forskare som arbetar med Googles Threat Analysis Group informerade om en riktad skadlig kampanj som var fokuserad på flera Hongkong-webbplatser och riktade in sig på besökare på dem genom en nolldagarssårbarhet i macOS.

Den goda nyheten är att buggen nu har åtgärdats av Apple. Felet spårades och kodifierades under CVE-2021-30869-beteckningen och det tilldelades en allvarlighetsgrad på 7,8.

Google-teamet rapporterade felet till Apple som rättade det i en macOS-uppdatering från september 2021 till Catalina-versionen av operativsystemet. I sin rapport sa Apple att felet tillät skadliga applikationer att "köra godtycklig kod med kärnprivilegier". Informationen om felet i National Vulnerability Database beskriver det som en "typförvirring".

Nu när det har gått tillräckligt lång tid sedan felet åtgärdades avslöjade Googles forskare ytterligare information om attacken.

Attacken förlitade sig på att infoga två webbläsare iframes på en webbsida, en designad för att fungera på iOS och den andra på macOS. Båda ramarna drog exploateringar från en server som drivs av de dåliga aktörerna bakom attackerna.

Efter att ha analyserat nyttolasten och upptäckt att den var mycket sofistikerad, sa Google också att det sannolikt var ett hantverk av ett team av mycket skickliga, sannolikt statsstödda skådespelare.

Hotaktörerna använde en kombination av en sårbarhet och en exploatering, vilket tillsammans tillät dem att få förhöjda privilegier och så småningom gav dem root-åtkomst till offrets Mac-system.

När root-åtkomst erhölls, skulle hackarna i tysthet ladda ner och distribuera den slutliga nyttolasten, som skulle sitta på offersystemet oupptäckt och spionera på användarens aktivitet.

Forskningen som publicerades om attacken nämnde inte specifikt de webbplatser som riktades mot attacken, men nämnde att bland dem fanns en politisk grupp och en media i Hong Kong.

November 12, 2021