0-day уязвимость в macOS использовалась для атак на посетителей гонконгских новостных сайтов

Аналитики Google обнаружили, что группа правительственных хакеров размещала на гонконгских продемократических новостных сайтах эксплоиты для уязвимости нулевого дня в macOS, посредством которой на компьютеры посетителей устанавливался бэкдор, пишет Хакер. Google не связывает злоумышленников с какой-либо конкретной страной, лишь отмечает, что хак-группа хорошо обеспечена ресурсами и, вероятно, ее поддерживает государство.

По сути, хакеры использовали технику атак watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. Этим термином обозначают атаки, в ходе которых злоумышленники внедряют на легитимные сайты вредоносный код, где он и поджидает жертв.

По информации Google, атаки начались в августе 2021 года. Цепочка эксплоитов объединяла в себе RCE-баг в WebKit (CVE-2021-1789, исправлен 5 января 2021 года) с локальным повышением привилегий в компоненте ядра XNU (CVE-2021-30869, исправлено 23 сентября 2021 года).

Интересно, что изначально Apple устранила эту проблему на устройствах, работающих под управлением macOS Big Sur, и это произошло еще 1 февраля 2021 года. И лишь 23 сентября 2021 года компания выпустила отдельное обновление, предназначенное для устройств на базе macOS Catalina. Пробел в 234 дня между двумя исправлениями лишь подчеркивает тот факт, что уязвимости в разных версиях операционной системы могут быть использованы злоумышленниками в своих интересах.

Известно, что в данном случае злоумышленники использовали цепочку эксплоитов, чтобы получить root-доступ к macOS, а затем загрузить и установить на машины жертв ранее неизвестную малварь MACMA или OSX.CDDS. Детальный отчет об этом вредоносе уже можно найти в блоге известного специалиста по безопасности macOS Патрика Уордла.

Сообщается, что малварь обладала чертами, характерными для бэкдоров и шпионского ПО, а именно:

• собирала данные об устройстве для его последующей идентификации;
• делала снимки экрана;
• работала как кейлоггер;
• записывала локальное аудио;
• могла скачивать и загружать файлы;
• могла выполнять команды терминала.

По сути, эксплоит для 0-day проблемы был публичным: он был представлен исследовательской группой Pangu Lab в ходе выступления на zer0con21 в апреле 2021 года, а также на конференции Mobile Security Conference (MOSEC) в июле 2021 года. Неясно, когда эксперты сообщили об уязвимости в Apple. Вероятно, компания попросту опоздала с выпуском патча, что позволило злоумышленникам проводить свои атаки.

Также в отчете сообщается, что были атакованы и пользователи iOS, однако злоумышленники применяли для них другую цепочку эксплоитов, которую специалистам Google TAG полностью восстановить не удалось. Известно лишь, что в атаках был задействован фреймворк, основанный на проекте Ironsquirrel (доставка эксплоитов в браузер), а также эксплуатировалась старая уязвимость удаленного выполнения кода (CVE-2019-8506).