freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

macOS曝出零日漏洞,有攻击者借此针对中文用户
2021-11-15 13:53:02

据谷歌TAG研究人员上周四(2021年11月11日)透露,他们在8月下旬发现了一个恶意软件攻击。不法分子利用macOS 操作系统一个炙手可热的零日漏洞,向香港一家媒体机构和一个著名民主劳工组织的网站发起了攻击。除此之外,谷歌并未透露其他受害者信息。

该漏洞编号为CVE-2021-30869(CVSS 分数:7.8),恶意应用程序能够以内核权限执行任意代码。9月下旬,苹果修复了这一漏洞。随着谷歌安全人员的进一步披露,该漏洞和攻击事件才逐渐被人们知晓。

在此次攻击事件中,不法分子还将另外一个漏洞(编号:CVE-2021-1789)串联起来组成攻击链,以便可以控制受害设备来安装他们的恶意软件。TAG 无法分析完整的 iOS 漏洞利用链,但确定了黑客用来发起攻击的关键 Safari 漏洞。

值得注意的是,此次攻击中曝出了一个之前从未出现的后门,据VirusTotal 的后门样本显示,目前没有一个反恶意软件引擎可以检测出来。其特点是 "广泛的软件工程",具有记录音频和击键、指纹设备、捕获屏幕、下载和上传任意文件以及执行恶意终端命令的能力。

谷歌安全人员指出,这是一种典型的水坑攻击,攻击者根据访问者的个人资料选择要攻陷的网站,其攻击对象是 Mac 和 iPhone 用户。该水坑提供了一个 XNU 权限提升漏洞,当时在 macOS Catalina 中未修补。

结合目前的信息来看,有安全专家表示这很可能是一起针对性的网络攻击。谷歌TAG 研究员认为,攻击团队的资源非同一般的丰富,可能是得到了某些国家或地区的支持。

攻击者利用先前披露的 XNU 漏洞(编号为 CVE-2020-27932)和相关漏洞来创建特权提升漏洞,使他们能够在目标 Mac 上获得 root 访问权限。

一旦获得 root 访问权限,攻击者就会下载一个有效负载,该负载在受感染的 Mac 上在后台静默运行。谷歌人员结合调查结果和这些信息,判断这是一个攻击资源十分丰富的团队。

安全研究员帕特里克·沃德尔认同这个判断,因为其二进制文件安装后是通过中文来显示错误信息,这意味着该恶意软件很有可能是面向中国用户。该恶意软件通过社会工程方法进行部署,其2021版本正是为远程开发设计。

参考来源:https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html

# 恶意软件 # macOS # 零日漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者