Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 12 Novembre 2021 09:08
I black hacker dal governo hanno utilizzato siti di notizie politiche a Hong Kong per infettare i computer macOS con una backdoor, sfruttando un insieme di due vulnerabilità, inclusa una precedentemente sconosciuta.
Gli attacchi sono iniziati almeno nell’agosto 2021. La prima nel bundle è una vulnerabilità legata all’esecuzione di codice in modalità remota in WebKit (CVE-2021-1789, risolta il 5 gennaio 2021) e la seconda è una vulnerabilità legata all’escalation dei privilegi locali nel componente del kernel XNU (CVE-2021-30869 , risolta il 23 settembre 2021).
Con il loro aiuto, gli aggressori hanno ottenuto i privilegi di superutente dei macOS attaccati e hanno scaricato e poi installato il malware MACMA o OSX.CDDS su di esso.
Questo malware mai visto prima, ha funzionalità sia backdoor che spyware e ti consente di:
Gli attacchi che utilizzano il suddetto pacchetto di vulnerabilità sono stati scoperti dal Google Threat Analysis Group (TAG), che ha segnalato una vulnerabilità 0-day ad Apple in modo che potesse risolverla.
L’exploit per la vulnerabilità zero-day è di dominio pubblico dall’aprile 2021, quando è stato presentato dai ricercatori del Pangu Lab alla conferenza zer0con21. È stato anche presentato alla Mobile Security Conference (MOSEC) di luglio.
Non è noto se gli esperti di Pangu Lab abbiano segnalato la vulnerabilità ad Apple e la società semplicemente non abbia rilasciato una correzione per molto tempo.
I ricercatori di Google TAG hanno descritto gli hacker dietro gli attacchi come
“un gruppo ben finanziato, che probabilmente lavora per il governo e, a giudicare dalla qualità del codice, con accesso al propri team di ingegneri del software”.
Gli esperti non hanno attribuito gli attacchi a nessuno stato in particolare o a noti gruppi di criminali informatici.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneSalve ragazzi,mi chiamo Giorgio, ho 58 anni, lavoro da sempre come tecnico amministrativo e, nella vita, sono sempre stato quello “razionale” della famiglia. Quello che controlla i conti, che non ...
I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità d...
La scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto ...
Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfrutta...
È stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
