Хакеры заражали macOS бэкдором через уязвимость 0-day с помощью сайтов новостей

уязвимость уязвимость нулевого дня бэкдор MACMA macOS Apple Google TAG
Хакеры заражали macOS бэкдором через уязвимость 0-day с помощью сайтов новостей
уязвимость уязвимость нулевого дня бэкдор MACMA macOS Apple Google TAG

Эксплоит для уязвимости нулевого дня доступен с апреля 2021 года, но Apple исправила ее только в сентябре.

Финансируемые правительством хакеры использовали политические новостные сайты в Гонконге для заражения компьютеров, работающих под управлением macOS, бэкдором путем эксплуатации связки из двух уязвимостей, в том числе одной ранее неизвестной. Атаки начались как минимум с августа 2021 года.

Первая в связке - уязвимость удаленного выполнения кода в WebKit ( CVE-2021-1789 , исправлена 5 января 2021 года), а вторая - уязвимость локального повышения привилегий в компоненте ядра XNU ( CVE-2021-30869 , исправлена 23 сентября 2021 года).

С их помощью злоумышленники получали привилегии суперпользователя на атакуемой macOS и загружали, а затем устанавливали на нее вредоносное ПО MACMA или OSX.CDDS.

Этот никогда ранее не встречавшийся вредонос обладает функциями, характерными как для бэкдора, так и для шпионского ПО и позволяет:

  • Создавать отпечаток устройства для его идентификации в будущем;
  • Делать скриншоты;
  • Записывать нажатия кнопок на клавиатуре;
  • Записывать аудио;
  • Загружать и выгружать файлы;
  • Выполнять команды терминала.

Атаки с использованием вышеупомянутой связки уязвимостей были обнаружены специалистами Google Threat Analysis Group (TAG), которые сообщили об уязвимости нулевого дня компании Apple, чтобы она могла ее исправить.

Согласно отчету Google TAG, злоумышленники также атаковали пользователей iOS-устройств, но с помощью другой связки уязвимостей, раскрыть которые специалисты пока не могут.

Эксплоит для уязвимости нулевого дня находится в открытом доступе еще с апреля 2021 года, когда его представили исследователи из Pangu Lab на конференции zer0con21. Также он был представлен на Mobile Security Conference (MOSEC) в июле.

Сообщили ли специалисты Pangu Lab об уязвимости Apple, а компания просто долго не выпускала исправление, неизвестно.

Исследователи из Google TAG описали стоящих за атаками хакеров как "хорошо финансируемую группу, вероятно, работающую на правительство, и, судя по качеству кода, с доступом к собственной команде инженеров ПО".

Специалисты не отнесли атаки ни на счет какого-либо конкретного государства, ни на счет известных киберпреступных группировок.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Новости по теме

На смартфонах Apple в 92 странах обнаружено шпионское ПО

LightSpy вернулся: обновлённый iOS-шпион атакует смартфоны яблочных пользователей

Новые ноутбуки Surface: Microsoft борется с Apple за звание босса на рынке умных ПК

Срочно отключите iMessage: эксплойт за $2 млн дает контроль над iPhone без единого клика

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Обновите Netcat CMS: хакеры могут создавать учетные записи админов

Telegram устранил 0day, используемый для удаленного запуска кода

Япония вводит новую систему штрафов, чтобы Apple и Google вели себя скромнее