I black hacker dal governo hanno utilizzato siti di notizie politiche a Hong Kong per infettare i computer macOS con una backdoor, sfruttando un insieme di due vulnerabilità, inclusa una precedentemente sconosciuta.

Gli attacchi sono iniziati almeno nell'agosto 2021. La prima nel bundle è una vulnerabilità legata all'esecuzione di codice in modalità remota in WebKit (CVE-2021-1789, risolta il 5 gennaio 2021) e la seconda è una vulnerabilità legata all'escalation dei privilegi locali nel componente del kernel XNU (CVE-2021-30869 , risolta il 23 settembre 2021).

Con il loro aiuto, gli aggressori hanno ottenuto i privilegi di superutente dei macOS attaccati e hanno scaricato e poi installato il malware MACMA o OSX.CDDS su di esso.

Questo malware mai visto prima, ha funzionalità sia backdoor che spyware e ti consente di:

• Creare un'impronta digitale del dispositivo per identificarlo in futuro;

• Cattura screenshot;

• Registra le sequenze di tasti sulla tastiera;

• Registra audio;

• caricare e scaricare file;

• Eseguire comandi da terminale.

Gli attacchi che utilizzano il suddetto pacchetto di vulnerabilità sono stati scoperti dal Google Threat Analysis Group (TAG), che ha segnalato una vulnerabilità 0-day ad Apple in modo che potesse risolverla.

L'exploit per la vulnerabilità zero-day è di dominio pubblico dall'aprile 2021, quando è stato presentato dai ricercatori del Pangu Lab alla conferenza zer0con21. È stato anche presentato alla Mobile Security Conference (MOSEC) di luglio.

Non è noto se gli esperti di Pangu Lab abbiano segnalato la vulnerabilità ad Apple e la società semplicemente non abbia rilasciato una correzione per molto tempo.

I ricercatori di Google TAG hanno descritto gli hacker dietro gli attacchi come

"un gruppo ben finanziato, che probabilmente lavora per il governo e, a giudicare dalla qualità del codice, con accesso al propri team di ingegneri del software".

Gli esperti non hanno attribuito gli attacchi a nessuno stato in particolare o a noti gruppi di criminali informatici.