Google揭露駭客利用macOS零時差漏洞攻擊香港使用者

專門查找零時差漏洞的Google威脅分析小組（TAG）在本周，公布了駭客利用macOS零時差漏洞CVE-2021-30869的細節，指出他們是在今年的8月發現，有駭客鎖定一個香港媒體網站，以及另一個著名民主團隊的網站展開水坑攻擊（Watering Hole），再開採CVE-2021-30869漏洞於受害者裝置上植入木馬程式。

根據TAG的分析，駭客利用這兩個網站的嵌入式框架、自C&C伺服器供應兩個開採程式，分別鎖定iOS與macOS，其中，針對iOS的開採程式利用了一個舊有的CVE-2019-8506漏洞，以於Safari上執行任意程式，針對macOS的開採程式則會先偵測使用者的作業系統版本，顯示當以macOS Catalina（10.15）造訪這些網站時，即會呈現完整的攻擊鏈。

此一攻擊鏈結合了在今年1月修補的WebKit遠端程式攻擊漏洞CVE-2021-1789，以及當時還沒人知道的CVE-2021-30869漏洞。CVE-2021-30869存在於蘋果作業系統所使用的XNU核心，它是個類型混淆漏洞，允許惡意程式以核心權限執行任意程式，蘋果在收到Google的報告之後，9月便釋出修補程式。

TAG指出，在成功開採相關漏洞之後，駭客即可於背景中下載惡意酬載，他們所觀察到的酬載看起來像是軟體工程的產物，它含有許多元件，有些為模組，主要功能包括蒐集受害者裝置的指紋、螢幕截圖、下載或上傳檔案、執行終端命令、錄音及側錄鍵盤等。

有鑑於該酬載的品質，TAG相信駭客擁有自己的軟體工程團隊，而且資源豐富，可能是國家支持的駭客集團。