Хакеры заражали macOS бэкдором через уязвимость 0-day с помощью сайтов новостей

Пт 12 Ноябрь 2021 06:05

Финансируемые правительством хакеры использовали политические новостные сайты в Гонконге для заражения компьютеров, работающих под управлением macOS, бэкдором путем эксплуатации связки из двух уязвимостей, в том числе одной ранее неизвестной. Атаки начались как минимум с августа 2021 года.

Первая в связке - уязвимость удаленного выполнения кода в WebKit ( CVE-2021-1789 , исправлена 5 января 2021 года), а вторая - уязвимость локального повышения привилегий в компоненте ядра XNU ( CVE-2021-30869 , исправлена 23 сентября 2021 года).

С их помощью злоумышленники получали привилегии суперпользователя на атакуемой macOS и загружали, а затем устанавливали на нее вредоносное ПО MACMA или OSX.CDDS.

Этот никогда ранее не встречавшийся вредонос обладает функциями, характерными как для бэкдора, так и для шпионского ПО и позволяет:

Атаки с использованием вышеупомянутой связки уязвимостей были обнаружены специалистами Google Threat Analysis Group (TAG), которые сообщили об уязвимости нулевого дня компании Apple, чтобы она могла ее исправить.

Согласно отчету Google TAG, злоумышленники также атаковали пользователей iOS-устройств, но с помощью другой связки уязвимостей, раскрыть которые специалисты пока не могут.

Эксплоит для уязвимости нулевого дня находится в открытом доступе еще с апреля 2021 года, когда его представили исследователи из Pangu Lab на конференции zer0con21. Также он был представлен на Mobile Security Conference (MOSEC) в июле.

Сообщили ли специалисты Pangu Lab об уязвимости Apple, а компания просто долго не выпускала исправление, неизвестно.

Исследователи из Google TAG описали стоящих за атаками хакеров как "хорошо финансируемую группу, вероятно, работающую на правительство, и, судя по качеству кода, с доступом к собственной команде инженеров ПО".

Специалисты не отнесли атаки ни на счет какого-либо конкретного государства, ни на счет известных киберпреступных группировок.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 252 дня 18 часов 32 минуты 41 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.