Компания Google поделилась подробностями недавно исправленной уязвимости нулевого дня macOS Catalina, которая нацелена на пользователей, посещающих сайты гонконгских СМИ и продемократических партий.
В конце августа Консультативная группа по угрозам (Threat Advisory Group, TAG) Google обнаружила атаку, направленную на людей, интересующихся политикой Гонконга, в частности, вопросами поддержки демократии. Этот конкретный вектор атаки не направлен на точное определение пользователей, а использует методы распространения уязвимостей на более широкую аудиторию.
Затронутые сайты использовали уязвимость повышения привилегий XNU, которая не была исправлена в macOS Catalina, что позволило установить ранее неизвестный бэкдор на компьютерах.
В атаке были задействованы цепочки известных эксплойтов для iOS и macOS. В случае с macOS javascript, запускающий цепочку эксплойтов, проверял, запущена ли на посещаемой системе macOS Mojave или Catalina, а затем загружал эксплойт, который уходил из «песочницы» Safari.
Работа эксплойта наблюдалась на Catalina и лишь частично на Mojave.
После получения root-доступа загруженный бэкдор запускался в фоновом режиме для сбора информации об устройстве жертвы, захвата экрана, загрузки и выгрузки файлов, выполнения команд терминала, записи звука и регистрации нажатий клавиш.
«Основываясь на наших выводах, мы считаем, что это хорошо обеспеченная ресурсами группа, вероятно, поддерживаемая государством, имеющая доступ к собственной команде разработчиков программного обеспечения, судя по качеству кода», – говорится в сообщении TAG.
Apple устранила эту уязвимость в обновлении безопасности, выпущенном в конце сентября.
Ещё по теме: