【安全资讯】攻击者利用 macOS 零日漏洞发起水坑攻击

猎影实验室 2021-11-16 06:46:24 2134人浏览

引言

2021年8月下旬,谷歌的研究人员发现了一次水坑攻击,攻击者利用 macOS Catalina中的0-day漏洞 ( CVE-2021-30869 ),攻击了与媒体机构和民主劳工和政治团体相关的香港网站,在受感染系统部署了新后门。研究人员认为,这个攻击者资源充足,很可能是国家支持的威胁组织。

 

简况

攻击所利用的网站包含两个 iframe,这些 iframe 为攻击者控制的服务器提供漏洞利用服务——一个用于 iOS,另一个用于 macOS。iOS漏洞利用链和macOS漏洞利用链都结合了多个漏洞。研究人员没有确定完整的 iOS 漏洞利用链,但确定攻击者使用了CVE-2019-8506漏洞。

macOS 漏洞利用与 iOS 漏洞利用的框架不同。登陆页面包含一个简单的 HTML 页面,加载两个脚本——一个用于 Capstone.js,另一个用于漏洞利用链。该攻击连接合了WebKit RCE漏洞CVE-2021-1789和CVE-2021-30869漏洞。CVE-2021-30869的 CVSS 分数为7.8,允许恶意应用程序以核心权限执行任意代码。

 

攻击者在此次攻击中部署了一个“MACMA”新后门,该后门疑似是广泛的软件工程的产物,具有设备指纹识别、屏幕截图、下载和上传任意文件、执行恶意终端命令、录音以及记录击键的功能。

总结

此次攻击是一起针对性的网络攻击。攻击者利用了XNU权限提升漏洞,针对的目标是 Mac 和 iPhone 用户,部署了MACMA新后门。由于MACMA的二进制文件在安装后显示中文的错误提醒,因此研究人员猜测该后门针对中国用户。

失陷指标(IOC)13
水坑攻击 CVE-2021-30869 香港 媒体行业 非政府组织
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。