Компания Google поделилась подробностями недавно исправленной уязвимости нулевого дня macOS Catalina, которая нацелена на пользователей, посещающих сайты гонконгских СМИ и продемократических партий.

В конце августа Консультативная группа по угрозам (Threat Advisory Group, TAG) Google обнаружила атаку, направленную на людей, интересующихся политикой Гонконга, в частности, вопросами поддержки демократии. Этот конкретный вектор атаки не направлен на точное определение пользователей, а использует методы распространения уязвимостей на более широкую аудиторию.

Затронутые сайты использовали уязвимость повышения привилегий XNU, которая не была исправлена в macOS Catalina, что позволило установить ранее неизвестный бэкдор на компьютерах.

В атаке были задействованы цепочки известных эксплойтов для iOS и macOS. В случае с macOS javascript, запускающий цепочку эксплойтов, проверял, запущена ли на посещаемой системе macOS Mojave или Catalina, а затем загружал эксплойт, который уходил из «песочницы» Safari.

Работа эксплойта наблюдалась на Catalina и лишь частично на Mojave.

После получения root-доступа загруженный бэкдор запускался в фоновом режиме для сбора информации об устройстве жертвы, захвата экрана, загрузки и выгрузки файлов, выполнения команд терминала, записи звука и регистрации нажатий клавиш.

«Основываясь на наших выводах, мы считаем, что это хорошо обеспеченная ресурсами группа, вероятно, поддерживаемая государством, имеющая доступ к собственной команде разработчиков программного обеспечения, судя по качеству кода», – говорится в сообщении TAG.

Apple устранила эту уязвимость в обновлении безопасности, выпущенном в конце сентября.


Hackers Exploit macOS Zero-Day to Hack Hong Kong Users with new Implant
Researchers have uncovered details of a watering hole attack carried out via websites in Hong Kong, and exploited a zero-day vulnerability in macOS.

Ещё по теме: