【安全资讯】攻击者利用 macOS 零日漏洞发起水坑攻击

引言

2021年8月下旬，谷歌的研究人员发现了一次水坑攻击，攻击者利用 macOS Catalina中的0-day漏洞 ( CVE-2021-30869 )，攻击了与媒体机构和民主劳工和政治团体相关的香港网站，在受感染系统部署了新后门。研究人员认为，这个攻击者资源充足，很可能是国家支持的威胁组织。

简况

攻击所利用的网站包含两个 iframe，这些 iframe 为攻击者控制的服务器提供漏洞利用服务——一个用于 iOS，另一个用于 macOS。iOS漏洞利用链和macOS漏洞利用链都结合了多个漏洞。研究人员没有确定完整的 iOS 漏洞利用链，但确定攻击者使用了CVE-2019-8506漏洞。

macOS 漏洞利用与 iOS 漏洞利用的框架不同。登陆页面包含一个简单的 HTML 页面，加载两个脚本——一个用于 Capstone.js，另一个用于漏洞利用链。该攻击连接合了WebKit RCE漏洞CVE-2021-1789和CVE-2021-30869漏洞。CVE-2021-30869的 CVSS 分数为7.8，允许恶意应用程序以核心权限执行任意代码。

攻击者在此次攻击中部署了一个“MACMA”新后门，该后门疑似是广泛的软件工程的产物，具有设备指纹识别、屏幕截图、下载和上传任意文件、执行恶意终端命令、录音以及记录击键的功能。

总结

此次攻击是一起针对性的网络攻击。攻击者利用了XNU权限提升漏洞，针对的目标是 Mac 和 iPhone 用户，部署了MACMA新后门。由于MACMA的二进制文件在安装后显示中文的错误提醒，因此研究人员猜测该后门针对中国用户。