Redazione RHC : 12 Novembre 2021 09:08
I black hacker dal governo hanno utilizzato siti di notizie politiche a Hong Kong per infettare i computer macOS con una backdoor, sfruttando un insieme di due vulnerabilità, inclusa una precedentemente sconosciuta.
Supporta Red Hot Cyber attraverso
Gli attacchi sono iniziati almeno nell’agosto 2021. La prima nel bundle è una vulnerabilità legata all’esecuzione di codice in modalità remota in WebKit (CVE-2021-1789, risolta il 5 gennaio 2021) e la seconda è una vulnerabilità legata all’escalation dei privilegi locali nel componente del kernel XNU (CVE-2021-30869 , risolta il 23 settembre 2021).
Con il loro aiuto, gli aggressori hanno ottenuto i privilegi di superutente dei macOS attaccati e hanno scaricato e poi installato il malware MACMA o OSX.CDDS su di esso.
Questo malware mai visto prima, ha funzionalità sia backdoor che spyware e ti consente di:
Gli attacchi che utilizzano il suddetto pacchetto di vulnerabilità sono stati scoperti dal Google Threat Analysis Group (TAG), che ha segnalato una vulnerabilità 0-day ad Apple in modo che potesse risolverla.
L’exploit per la vulnerabilità zero-day è di dominio pubblico dall’aprile 2021, quando è stato presentato dai ricercatori del Pangu Lab alla conferenza zer0con21. È stato anche presentato alla Mobile Security Conference (MOSEC) di luglio.
Non è noto se gli esperti di Pangu Lab abbiano segnalato la vulnerabilità ad Apple e la società semplicemente non abbia rilasciato una correzione per molto tempo.
I ricercatori di Google TAG hanno descritto gli hacker dietro gli attacchi come
“un gruppo ben finanziato, che probabilmente lavora per il governo e, a giudicare dalla qualità del codice, con accesso al propri team di ingegneri del software”.
Gli esperti non hanno attribuito gli attacchi a nessuno stato in particolare o a noti gruppi di criminali informatici.
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009