|
|
谷歌警告黑客使用 macOS 零日漏洞来捕获按键和屏幕截图1 j5 k1 i1 {' [' w7 t: z
& O" [/ Z) e+ m4 l谷歌的威胁分析小组 (TAG) 透露,针对香港网站访问者的黑客正在利用 macOS 中以前未公开或零日漏洞来监视人们。 S4 r4 k6 P& f: z
- r. ^0 n1 L8 w$ u0 I6 r苹果在 9 月的 macOS Catalina 更新中修补了这个漏洞,编号为 CVE-2021-30869,大约是在谷歌 TAG 研究人员发现它被使用后一个月。
5 F) L/ H! I, }1 S( K) B4 P
6 _# [4 X! ]7 s& o
“恶意应用程序可能能够以内核权限执行任意代码。Apple 知道有报告称该漏洞存在于野外,”Apple 表示,并感谢 Google TAG 研究人员报告了该漏洞。
( \7 F3 \# [! K/ u) U3 V8 a
3 W# U( H# p g1 \8 B现在谷歌提供了更多信息,并指出这是一种所谓的“水坑”攻击,攻击者根据典型访问者的个人资料选择要攻陷的网站。这些攻击针对的是 Mac 和 iPhone 用户。2 j% y* H( k& G5 ?& L0 L) t. t
% R4 v0 T" I) g* r( P' ~: I( c
Google TAG 的 Erye Hernandez 表示:“攻击所利用的网站包含两个 iframe,这些 iframe 为攻击者控制的服务器提供漏洞利用服务——一个用于 iOS,另一个用于 macOS。”! X9 z v$ z ?6 I$ K' _
4 x9 F& Y# b3 f/ R8 Z" e' F+ ]( A1 y该水坑提供了一个 XNU 权限提升漏洞,当时在 macOS Catalina 中未修补,导致安装后门。
. a4 f" P! D5 O5 v: [' Z* m
4 L' J) k* g/ v' L' `2 g0 W他补充说:“我们相信这个威胁行为者是一个资源充足的团体,可能得到国家支持,可以根据有效载荷代码的质量访问自己的软件工程团队。”+ g0 P/ R4 K7 c
. ?+ t& ^8 d. s3 N+ ^( u" M攻击者利用先前披露的 XNU 漏洞(编号为 CVE-2020-27932)和相关漏洞来创建特权提升漏洞,使他们能够在目标 Mac 上获得 root 访问权限。* r7 ^* _6 ~( Q9 @2 ]8 q% a
7 B4 T4 I; n& N% y5 w3 d) v1 u一旦获得 root 访问权限,攻击者就会下载一个有效负载,该负载在受感染的 Mac 上在后台静默运行。据 Google TAG 称,恶意软件的设计表明攻击者是一名资源丰富的攻击者。+ b2 W8 S# a4 y5 Q# p1 ~0 e+ |
/ \ r7 _7 X! Y7 m; N5 n( v“有效载荷似乎是广泛软件工程的产物。它通过数据分发服务 (DDS) 框架使用发布-订阅模型与 C2 通信。它还有几个组件,其中一些似乎被配置为模块,”埃尔南德斯指出。
9 C$ b( L( x _9 |& H- f/ T; f+ v: \- h% R; n
该后门包括为监视目标而构建的恶意软件的常见特征,包括设备指纹、屏幕截图、上传和下载文件的能力以及执行终端命令。 该恶意软件还可以记录音频和记录击键。3 ?: ~8 O' P: @' r A3 ?# X
1 L: G/ q6 x0 T! I. l
谷歌没有透露所针对的网站,但指出其中包括与香港新闻有关的“媒体机构和著名的民主劳工和政治团体”。 |
|
发表于 2021-11-13 08:19:46
QQ好友和群
收藏
转播
分享
顶
踩