Hacker nutzen macOS-Zero-Day aus, um Nutzer in Hongkong mit neuem Implantat zu hacken

  • Google-Forscher haben am Donnerstag bekannt gegeben, dass sie Ende August einen Watering-Hole-Angriff entdeckt haben, bei dem ein jetzt geparktes Zero-Day im Betriebssystem macOS ausgenutzt wurde. Die Attacke richtete sich gegen Hongkong-Websites, die mit einem Medienunternehmen und einer prominenten pro-demokratischen Gewerkschafts- und politischen Gruppe in Verbindung stehen, um eine noch nie dagewesene Backdoor auf kompromittierte Rechner zu bringen.

    “Basierend auf unseren Erkenntnissen glauben wir, dass es sich bei diesem Bedrohungsakteur um eine gut ausgestattete Gruppe handelt, die wahrscheinlich vom Staat unterstützt wird und aufgrund der Qualität des Nutzdatencodes Zugang zu ihrem eigenen Softwareentwicklungsteam hat”, so Erye Hernandez, Forscher der Google Threat Analysis Group (TAG), in einem Bericht.

    [Blocked Image: https://thehackernews.com/images/-DVj5Uq05ZlA/YVHQqZ1yK1I/AAAAAAAA4Z0/_vfyQiMOAJUPXrS2DwuAwOa6sxkUDm9ogCLcBGAsYHQ/s728-e100/rewind-1-728.png]

    Der als CVE-2021-30869 (CVSS-Score: 7.8) verfolgte Sicherheitsmangel betrifft eine Typverwechslungsschwachstelle, die die XNU-Kernelkomponente betrifft und dazu führen könnte, dass eine böswillige Anwendung beliebigen Code mit den höchsten Privilegien ausführen kann. Apple hat das Problem am 23. September behoben.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgBc2wi_nptuLq8mX8yzo2Yh8_UT1zEKH-mYmxjh6zs3H1iAVdDEa8DPQxpQtr3HnMhz6g06KTbCn-bhEDXfCI149kv5lbL3_jfCQpGeXvIr26AwoU0Y_2Pilt4iv2Xy-aerSXXjPxPGured_8v-5yMlucyY7mgDza_tguUOJWJwK3xRXjRl3VnP6Ho=s728-e1000]

    Bei den von TAG beobachteten Angriffen handelte es sich um eine Exploit-Kette, die CVE-2021-1789, einen im Februar 2021 behobenen Fehler in WebKit zur Ausführung von Remote-Code, und die oben erwähnte CVE-2021-30869 miteinander verband, um aus der Safari-Sandbox auszubrechen, die Berechtigungen zu erhöhen und eine Nutzlast der zweiten Stufe mit der Bezeichnung “MACMA” von einem Remote-Server herunterzuladen und auszuführen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEitobN2XhP0Nz0JFITNajTEAT1EHbW995w8WPlbFoAGAv7pAH28rA3VXz0UHIgSF620KZAV0TbnQf_VQ8U2fj5ZL5Qy0rdF3zJ54q_TyQ8uDeuI1_PHtF9WCY2eqTffURXRYu35Pl6hvKmzuGL3v2TdsL45etr68Yy81zfXiZE5p97iR-PybTFCt2BX=s728-e1000]

    Diese bisher nicht dokumentierte Malware, ein voll funktionsfähiges Implantat, zeichnet sich durch “umfangreiche Softwaretechnik” aus und kann Audio- und Tastatureingaben aufzeichnen, Fingerabdrücke des Geräts erstellen, den Bildschirm erfassen, beliebige Dateien herunterladen und hochladen sowie bösartige Terminalbefehle ausführen, so Google TAG. Auf VirusTotal hochgeladene Proben der Backdoor zeigen, dass keine der Anti-Malware-Engines die Dateien derzeit als bösartig erkennt.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Laut Sicherheitsforscher Patrick Wardle tarnt sich eine 2019er-Variante von MACMA als Adobe Flash Player, wobei die Binärdatei nach der Installation eine Fehlermeldung in chinesischer Sprache anzeigt, was darauf hindeutet, dass “die Malware auf chinesische Benutzer ausgerichtet ist” und dass “diese Version der Malware darauf ausgelegt ist, über Social-Engineering-Methoden eingesetzt zu werden.” Die Version 2021 hingegen ist für die Fernausnutzung konzipiert.

    Die Websites, die bösartigen Code enthielten, um Exploits von einem von einem Angreifer kontrollierten Server aus zu verbreiten, dienten auch als Wasserloch, um iOS-Nutzer anzugreifen, wenn auch unter Verwendung einer anderen Exploit-Kette, die an den Browser der Opfer übermittelt wurde. Google TAG gab an, dass es nur einen Teil des Infektionsflusses wiederherstellen konnte, bei dem ein Type Confusion Bug (CVE-2019-8506) genutzt wurde, um Codeausführung in Safari zu erreichen.

    Weitere Kompromittierungsindikatoren (Indicators of Compromise, IoCs), die mit der Kampagne in Verbindung stehen, können hier abgerufen werden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com