【大家小心】Google:黑客藉macOS零日漏洞 監視香港網站瀏覽者
Google 的威脅分析小組 (Threat Analysis Group, TAG) 透露,有黑客正利用 macOS 中以前未公開的漏洞或零日漏洞,來監視針對香港網站瀏覽者,並捕捉用戶的按鍵和屏幕截圖等動作。Google 未透露攻擊所針對的網站,但指出當中包括香港媒體機構和民主派的勞工和政治團體。
大約在 Google TAG 研究人員發現該漏洞被利用一個月後,Apple 在 9 月的 macOS Catalina 更新並修補了這個漏洞,編號為 CVE-2021-30869。Apple 表示,惡意應用程式或能以內核權限執行任意的代碼,並感謝 Google TAG 研究人員報告了該漏洞。
Google 公開更多有關這個漏洞的資料,並指這屬於所謂的「watering hole」攻擊,即攻擊者根據瀏覽者類型而選擇要入侵的網站,而這次攻擊所針對的是 Mac 和 iPhone 的用戶。Google TAG 的 Erye Hernandez 表示,用於攻擊的網站包含兩個 iframe,這些 iframe 讓攻擊者控制的伺服器能利用漏洞,一個用於 iOS,另一個用於 macOS。該攻擊提供了一個 XNU 權限提升漏洞,在 macOS Catalina 中未修補前,令黑客有機可乘安裝後門程式。Hernandez 補充指,他們相信這個威脅行為者是一個資源豐富的團體,甚至得到國家支持。
攻擊者利用先前披露的 XNU 漏洞(編號為 CVE-2020-27932)和相關的漏洞,來創建提升特權漏洞,使他們能夠在目標 Mac 上獲得 root 訪問權限。一旦獲得 root 訪問權限,攻擊者就會下載一個有效 payload,並在受感染的 Mac 的後台運作。據 Google TAG 稱,這個惡意軟件的設計反映攻擊者是擁有豐富資源的攻擊者。
該後門程式包括為監視目標而構建的惡意軟件的常見特徵,包括裝置的指紋、屏幕截圖、上傳和下載文件的能力,以及執行終端命令,甚至還可以記錄語音檔案頻和記錄擊鍵。