Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры заражали macOS бэкдором через уязвимость 0-day с помощью сайтов новостей

12/11/21

apple vulnerability2-3Хакеры использовали новостные сайты в Гонконге для заражения компьютеров, работающих под управлением macOS, бэкдором путем эксплуатации связки из двух уязвимостей, в том числе одной ранее неизвестной. Атаки начались как минимум с августа 2021 года.

Первая в связке - уязвимость удаленного выполнения кода в WebKit ( CVE-2021-1789 , исправлена 5 января 2021 года), а вторая - уязвимость локального повышения привилегий в компоненте ядра XNU ( CVE-2021-30869 , исправлена 23 сентября 2021 года).

С их помощью злоумышленники получали привилегии суперпользователя на атакуемой macOS и загружали, а затем устанавливали на нее вредоносное ПО MACMA или OSX.CDDS.

Этот никогда ранее не встречавшийся вредонос обладает функциями, характерными как для бэкдора, так и для шпионского ПО и позволяет:

  • Создавать отпечаток устройства для его идентификации в будущем;
  • Делать скриншоты;
  • Записывать нажатия кнопок на клавиатуре;
  • Записывать аудио;
  • Загружать и выгружать файлы;
  • Выполнять команды терминала.

Атаки с использованием вышеупомянутой связки уязвимостей были обнаружены специалистами Google Threat Analysis Group (TAG), которые сообщили об уязвимости нулевого дня компании Apple, чтобы она могла ее исправить.

Согласно отчету Google TAG, злоумышленники также атаковали пользователей iOS-устройств, но с помощью другой связки уязвимостей, раскрыть которые специалисты пока не могут.

Эксплоит для уязвимости нулевого дня находится в открытом доступе еще с апреля 2021 года, когда его представили исследователи из Pangu Lab на конференции zer0con21. Также он был представлен на Mobile Security Conference (MOSEC) в июле.

Сообщили ли специалисты Pangu Lab об уязвимости Apple, а компания просто долго не выпускала исправление, неизвестно.

Исследователи из Google TAG описали стоящих за атаками хакеров как "хорошо финансируемую группу, вероятно, работающую на правительство, и, судя по качеству кода, с доступом к собственной команде инженеров ПО".

Специалисты не отнесли атаки ни на счет какого-либо конкретного государства, ни на счет известных киберпреступных группировок.

Темы:ПреступленияmacOSбэкдорыинтернет-СМИ
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...