谷歌( Google )研究人員周四披露,他們在 8 月底發(fā)現(xiàn)了一個利用 macOS 操作系統(tǒng)中現(xiàn)已打上補丁的“零日”( zero - day )進行攻擊的漏洞,攻擊目標是與一家媒體和一個支持民主的知名勞工和政治團體有關的香港網(wǎng)站,目的是在遭到攻擊的機器上提供一個從未見過的后門。
“根據(jù)我們的調(diào)查結果,我們認為這個威脅行為者是一個資源充足的群體,可能有國家支持,根據(jù)有效負載代碼的質(zhì)量,可以訪問他們自己的軟件工程團隊,”谷歌威脅分析小組( TAG )研究員埃爾耶·埃爾南德斯在一份報告中說。
追蹤到 CVE - 2021 - 30869( CV SS 評分:7.8分)安全缺陷涉及一個類型混淆漏洞,該漏洞會影響 X NU 內(nèi)核組件,從而導致惡意應用程序以最高權限執(zhí)行任意代碼。
蘋果最初將 macOS Big Sur 設備的問題作為 2 月 1 日發(fā)貨的安全更新的一部分來解決,但在 9 月 23 日有報道稱在野生環(huán)境中被利用后,蘋果又推出了針對 macos Catalina 設備的獨立更新——兩個補丁之間的差距為 234 天——這突顯了一個案例,即在解決操作系統(tǒng)不同版本之間的漏洞時出現(xiàn)的不一致,可能會被威脅參與者利用為自己的優(yōu)勢。
TAG 觀察到的攻擊涉及一個串聯(lián)在一起的 CVE - 2021 - 1789 漏洞鏈,WebKit 中的一個遠程代碼執(zhí)行 bug 于 2021 年 2 月修復,前面提到的 CVE - 2021 - 30869 可以突破 Safari 沙箱,提升權限,從遠程服務器下載并執(zhí)行名為“ MA CMA ”的第二階段有效負載。
Google TAG 稱,這款此前未被證的惡意軟件是一款功能齊全的植入軟件,其特點是“廣泛的軟件工程”,具有記錄音頻和擊鍵、為設備采集指紋、捕捉屏幕、下載和上傳任意文件以及執(zhí)行惡意終端命令的功能。上傳到 Virus Total 的后門示例顯示,目前沒有反惡意軟件引擎檢測到文件為惡意。
據(jù)安全研究員 Patrick Wardle 稱, 2019 年的 MA CMA 變種偽裝成 Adobe Flash Player ,二進制文件在安裝后顯示中文錯誤信息,表明“該惡意軟件面向中國用戶”,“該版本的惡意軟件旨在通過社會工程方法部署。“而 2021 版本則是為遠程開發(fā)而設計的。
這些網(wǎng)站含有惡意代碼,從一個攻擊者控制的服務器服務漏洞,也作為一個水坑目標 iOS 用戶,盡管使用不同的漏洞鏈交付給受害者的瀏覽器。Google TAG 表示,它只能恢復部分感染流,其中一個類型混淆 bug ( CVE - 2019 - 8506 )被用于在 Safari 中獲得代碼執(zhí)行。
與該運動有關的其他妥協(xié)指標( IOC )可在此查閱。
文章轉載自PLA云計算