专门查找零时差漏洞的Google威胁分析小组(TAG)在本周,公布了黑客利用macOS零时差漏洞CVE-2021-30869的细节,指出他们是在今年的8月发现,有黑客锁定一个香港媒体网站,以及另一个著名民主团队的网站展开水坑攻击(Watering Hole),再开采CVE-2021-30869漏洞于受害者设备上植入木马程序。
根据TAG的分析,黑客利用这两个网站的嵌入式框架、自C&C服务器供应两个开采程序,分别锁定iOS与macOS,其中,针对iOS的开采程序利用了一个旧有的CVE-2019-8506漏洞,以于Safari上执行任意程序,针对macOS的开采程序则会先侦测用户的操作系统版本,显示当以macOS Catalina(10.15)访问这些网站时,即会呈现完整的攻击链。
该攻击连接合了在今年1月修补的WebKit远程程序攻击漏洞CVE-2021-1789,以及当时还没人知道的CVE-2021-30869漏洞。CVE-2021-30869存在于苹果操作系统所使用的XNU核心,它是个类型混淆漏洞,允许恶意程序以核心权限执行任意程序,苹果在收到Google的报告之后,9月便发布修补程序。
TAG指出,在成功开采相关漏洞之后,黑客即可于背景中下载恶意酬载,他们所观察到的酬载看起来像是软件工程的产物,它含有许多样件,有些为模块,主要功能包括搜集受害者设备的指纹、屏幕截屏、下载或上传文件、执行终端命令、录音及监听键盘等。
有鉴于该酬载的品质,TAG相信黑客拥有自己的软件工程团队,而且资源丰富,可能是国家支持的黑客集团。