据谷歌TAG研究人员称,上周四(2021年11月11日),他们在8月下旬发现了一次恶意软件攻击。犯罪分子利用macOS操作系统中的一个热键零日漏洞攻击了香港一家媒体机构和一家知名民主劳工组织的网站。此外,谷歌没有透露其他受害者信息。该漏洞编号为CVE-2021-30869(CVSS评分:7.8),恶意应用程序可以以内核权限执行任意代码。9月下旬,Apple修复了该错误。随着谷歌安全人员的进一步披露,漏洞和攻击事件逐渐为人们所知。在此次攻击中,不法分子还将另一个漏洞(编号:CVE??-2021-1789)串联起来,形成攻击链,从而控制受害设备安装其恶意软件。TAG无法分析完整的iOS漏洞利用链,但确定了黑客用来发起攻击的一个严重Safari漏洞。值得注意的是,此次攻击暴露了一个前所未见的后门,根据VirusTotal的后门样本,目前还没有反恶意软件引擎能够检测到。它具有“广泛的软件工程”的特点,能够记录音频和击键、指纹设备、捕获屏幕、下载和上传任意文件以及执行恶意终端命令。谷歌安全人员指出,这是一次典型的水坑攻击。攻击者根据访问者的资料选择要入侵的网站。攻击目标是Mac和iPhone用户。该水坑提供了一个当时在macOSCatalina中未修补的XNU权限升级漏洞。根据目前掌握的信息,有安全专家表示,这很可能是一次有针对性的网络攻击。谷歌TAG研究人员认为,攻击团队拥有异常丰富的资源,可能得到了某些国家或地区的支持。攻击者利用之前披露的XNU漏洞(编号为CVE-2020-27932)和相关漏洞来创建提权漏洞利用,从而使他们能够在目标Mac上获得根访问权限。一旦获得root访问权限,攻击者就会下载一个有效负载,该负载会在受感染的Mac的后台静默运行。根据调查结果和这些信息,谷歌人员判断这是一个攻击资源非常丰富的团队。安全研究员PatrickWardle认同这一判断,因为安装二进制文件后会显示中文错误信息,这意味着该恶意软件很可能是针对中国用户的。该恶意软件通过社会工程方法部署,其2021版本专为远程利用而设计。参考来源:https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html
