据谷歌TAG研究人员上周四(2021年11月11日)透露,他们在8月下旬发现了一个恶意软件攻击。不法分子利用macOS 操作系统一个炙手可热的零日漏洞,向香港一家媒体机构和一个著名民主劳工组织的网站发起了攻击。除此之外,谷歌并未透露其他受害者信息。
该漏洞编号为CVE-2021-30869(CVSS 分数:7.8),恶意应用程序能够以内核权限执行任意代码。9月下旬,苹果修复了这一漏洞。随着谷歌安全人员的进一步披露,该漏洞和攻击事件才逐渐被人们知晓。
在此次攻击事件中,不法分子还将另外一个漏洞(编号:CVE-2021-1789)串联起来组成攻击链,以便可以控制受害设备来安装他们的恶意软件。TAG 无法分析完整的 iOS 漏洞利用链,但确定了黑客用来发起攻击的关键 Safari 漏洞。
值得注意的是,此次攻击中曝出了一个之前从未出现的后门,据VirusTotal 的后门样本显示,目前没有一个反恶意软件引擎可以检测出来。其特点是 "广泛的软件工程",具有记录音频和击键、指纹设备、捕获屏幕、下载和上传任意文件以及执行恶意终端命令的能力。
谷歌安全人员指出,这是一种典型的水坑攻击,攻击者根据访问者的个人资料选择要攻陷的网站,其攻击对象是 Mac 和 iPhone 用户。该水坑提供了一个 XNU 权限提升漏洞,当时在 macOS Catalina 中未修补。
结合目前的信息来看,有安全专家表示这很可能是一起针对性的网络攻击。谷歌TAG 研究员认为,攻击团队的资源非同一般的丰富,可能是得到了某些国家或地区的支持。
攻击者利用先前披露的 XNU 漏洞(编号为 CVE-2020-27932)和相关漏洞来创建特权提升漏洞,使他们能够在目标 Mac 上获得 root 访问权限。
一旦获得 root 访问权限,攻击者就会下载一个有效负载,该负载在受感染的 Mac 上在后台静默运行。谷歌人员结合调查结果和这些信息,判断这是一个攻击资源十分丰富的团队。
安全研究员帕特里克·沃德尔认同这个判断,因为其二进制文件安装后是通过中文来显示错误信息,这意味着该恶意软件很有可能是面向中国用户。该恶意软件通过社会工程方法进行部署,其2021版本正是为远程开发设计。
参考来源
https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html