Các nhà nghiên cứu của Google đã thông báo rằng họ đã tìm thấy một cuộc tấn công lỗ hổng vào cuối tháng 8, chúng khai thác hệ điều hành macOS và nhắm mục tiêu vào các trang web Hồng Kông. Mục tiêu liên quan đến một phương tiện truyền thông, một nhóm chính trị, lao động ủng hộ dân chủ nổi tiếng để cung cấp một backdoor chưa từng thấy trước đây trên các máy bị xâm nhập.
Nhà nghiên cứu Erye của Nhóm phân tích mối đe dọa của Google (TAG): “Dựa trên những phát hiện của chúng tôi, chúng tôi tin rằng tác nhân gây ra mối đe dọa này là một nhóm có nguồn lực tốt, có khả năng được nhà nước hậu thuẫn, có quyền truy cập vào nhóm kỹ thuật phần mềm của riêng họ”, Hernandez cho biết trong một báo cáo.
Được theo dõi là CVE-2021-30869 (điểm CVSS: 7,8), thiếu sót bảo mật liên quan đến lỗ hổng nhầm lẫn kiểu ảnh hưởng đến thành phần hạt nhân XNU có thể khiến ứng dụng độc hại thực thi mã tùy ý với các đặc quyền cao nhất. Apple đã giải quyết vấn đề vào ngày 23 tháng 9.
Các cuộc tấn công được TAG quan sát thấy liên quan đến một chuỗi khai thác kết hợp với nhau CVE-2021-1789, một lỗi thực thi mã từ xa trong WebKit đã được sửa vào tháng 2 năm 2021 và CVE-2021-30869 nói trên để thoát ra khỏi Safari, nâng cao đặc quyền và tải xuống và thực thi tải trọng giai đoạn hai có tên “MACMA” từ một máy chủ từ xa.
Phần mềm độc hại không có giấy tờ trước đây, một thiết bị cấy ghép đầy đủ tính năng, được đánh dấu bằng “kỹ thuật phần mềm mở rộng” với khả năng ghi lại âm thanh và các lần gõ phím, vân tay thiết bị, chụp màn hình, tải xuống và tải lên các tệp tùy ý và thực hiện các lệnh đầu cuối độc hại, Google TAG cho biết. Mẫu của backdoor tải lên VirusTotal tiết lộ rằng không ai trong số các công cụ chống phần mềm độc hại hiện nay phát hiện các tập tin như độc hại.
Theo nhà nghiên cứu bảo mật Patrick Wardle, một biến thể năm 2019 của MACMA giả mạo là Adobe Flash Player, với tệp nhị phân hiển thị thông báo lỗi bằng tiếng Trung sau khi cài đặt, cho thấy rằng phần mềm độc hại hướng tới người dùng Trung Quốc, phiên bản này của phần mềm độc hại được thiết kế để triển khai thông qua các phương pháp kỹ thuật xã hội. Mặt khác, phiên bản 2021 được thiết kế để khai thác từ xa.
Các trang web, chứa mã độc để phục vụ cho việc khai thác từ máy chủ do kẻ tấn công kiểm soát, cũng hoạt động như một lỗ hổng để nhắm mục tiêu người dùng iOS, mặc dù sử dụng một chuỗi khai thác khác được gửi đến trình duyệt của nạn nhân. Google TAG cho biết họ chỉ có thể khôi phục một phần của luồng lây nhiễm, trong đó lỗi nhầm lẫn loại ( CVE-2019-8506 ) được sử dụng để thực thi mã trong Safari.
Fanpage: Trí Việt JSC (Theo thehackernews)
