圖片來源: 

photo by Marcin Nowak on unsplash

專門查找零時差漏洞的Google威脅分析小組(TAG)在本周,公布了駭客利用macOS零時差漏洞CVE-2021-30869的細節,指出他們是在今年的8月發現,有駭客鎖定一個香港媒體網站,以及另一個著名民主團隊的網站展開水坑攻擊(Watering Hole),再開採CVE-2021-30869漏洞於受害者裝置上植入木馬程式。

根據TAG的分析,駭客利用這兩個網站的嵌入式框架、自C&C伺服器供應兩個開採程式,分別鎖定iOS與macOS,其中,針對iOS的開採程式利用了一個舊有的CVE-2019-8506漏洞,以於Safari上執行任意程式,針對macOS的開採程式則會先偵測使用者的作業系統版本,顯示當以macOS Catalina(10.15)造訪這些網站時,即會呈現完整的攻擊鏈。

此一攻擊鏈結合了在今年1月修補的WebKit遠端程式攻擊漏洞CVE-2021-1789,以及當時還沒人知道的CVE-2021-30869漏洞。CVE-2021-30869存在於蘋果作業系統所使用的XNU核心,它是個類型混淆漏洞,允許惡意程式以核心權限執行任意程式,蘋果在收到Google的報告之後,9月便釋出修補程式

TAG指出,在成功開採相關漏洞之後,駭客即可於背景中下載惡意酬載,他們所觀察到的酬載看起來像是軟體工程的產物,它含有許多元件,有些為模組,主要功能包括蒐集受害者裝置的指紋、螢幕截圖、下載或上傳檔案、執行終端命令、錄音及側錄鍵盤等。

有鑑於該酬載的品質,TAG相信駭客擁有自己的軟體工程團隊,而且資源豐富,可能是國家支持的駭客集團。


熱門新聞

Advertisement