據(jù)谷歌TAG研究人員上周四(2021年11月11日)透露，他們?cè)?月下旬發(fā)現(xiàn)了一個(gè)惡意軟件攻擊。不法分子利用macOS 操作系統(tǒng)一個(gè)炙手可熱的零日漏洞，向香港一家媒體機(jī)構(gòu)和一個(gè)著名民主勞工組織的網(wǎng)站發(fā)起了攻擊。除此之外，谷歌并未透露其他受害者信息。

該漏洞編號(hào)為CVE-2021-30869(CVSS 分?jǐn)?shù)：7.8)，惡意應(yīng)用程序能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。9月下旬，蘋果修復(fù)了這一漏洞。隨著谷歌安全人員的進(jìn)一步披露，該漏洞和攻擊事件才逐漸被人們知曉。

在此次攻擊事件中，不法分子還將另外一個(gè)漏洞(編號(hào)：CVE-2021-1789)串聯(lián)起來(lái)組成攻擊鏈，以便可以控制受害設(shè)備來(lái)安裝他們的惡意軟件。TAG 無(wú)法分析完整的 iOS 漏洞利用鏈，但確定了黑客用來(lái)發(fā)起攻擊的關(guān)鍵 Safari 漏洞。

值得注意的是，此次攻擊中曝出了一個(gè)之前從未出現(xiàn)的后門，據(jù)VirusTotal 的后門樣本顯示，目前沒有一個(gè)反惡意軟件引擎可以檢測(cè)出來(lái)。其特點(diǎn)是 "廣泛的軟件工程"，具有記錄音頻和擊鍵、指紋設(shè)備、捕獲屏幕、下載和上傳任意文件以及執(zhí)行惡意終端命令的能力。

谷歌安全人員指出，這是一種典型的水坑攻擊，攻擊者根據(jù)訪問者的個(gè)人資料選擇要攻陷的網(wǎng)站，其攻擊對(duì)象是 Mac 和 iPhone 用戶。該水坑提供了一個(gè) XNU 權(quán)限提升漏洞，當(dāng)時(shí)在 macOS Catalina 中未修補(bǔ)。

結(jié)合目前的信息來(lái)看，有安全專家表示這很可能是一起針對(duì)性的網(wǎng)絡(luò)攻擊。谷歌TAG 研究員認(rèn)為，攻擊團(tuán)隊(duì)的資源非同一般的豐富，可能是得到了某些國(guó)家或地區(qū)的支持。

攻擊者利用先前披露的 XNU 漏洞(編號(hào)為 CVE-2020-27932)和相關(guān)漏洞來(lái)創(chuàng)建特權(quán)提升漏洞，使他們能夠在目標(biāo) Mac 上獲得 root 訪問權(quán)限。

一旦獲得 root 訪問權(quán)限，攻擊者就會(huì)下載一個(gè)有效負(fù)載，該負(fù)載在受感染的 Mac 上在后臺(tái)靜默運(yùn)行。谷歌人員結(jié)合調(diào)查結(jié)果和這些信息，判斷這是一個(gè)攻擊資源十分豐富的團(tuán)隊(duì)。

安全研究員帕特里克·沃德爾認(rèn)同這個(gè)判斷，因?yàn)槠涠M(jìn)制文件安裝后是通過中文來(lái)顯示錯(cuò)誤信息，這意味著該惡意軟件很有可能是面向中國(guó)用戶。該惡意軟件通過社會(huì)工程方法進(jìn)行部署，其2021版本正是為遠(yuǎn)程開發(fā)設(shè)計(jì)。

參考來(lái)源：https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html