macOS曝出零日漏洞，有攻击者借此针对中文用户

据谷歌TAG研究人员上周四（2021年11月11日）透露，他们在8月下旬发现了一个恶意软件攻击。不法分子利用macOS 操作系统一个炙手可热的零日漏洞，向香港一家媒体机构和一个著名民主劳工组织的网站发起了攻击。除此之外，谷歌并未透露其他受害者信息。

该漏洞编号为CVE-2021-30869（CVSS 分数：7.8），恶意应用程序能够以内核权限执行任意代码。9月下旬，苹果修复了这一漏洞。随着谷歌安全人员的进一步披露，该漏洞和攻击事件才逐渐被人们知晓。

在此次攻击事件中，不法分子还将另外一个漏洞（编号：CVE-2021-1789）串联起来组成攻击链，以便可以控制受害设备来安装他们的恶意软件。TAG 无法分析完整的 iOS 漏洞利用链，但确定了黑客用来发起攻击的关键 Safari 漏洞。

值得注意的是，此次攻击中曝出了一个之前从未出现的后门，据VirusTotal 的后门样本显示，目前没有一个反恶意软件引擎可以检测出来。其特点是 "广泛的软件工程"，具有记录音频和击键、指纹设备、捕获屏幕、下载和上传任意文件以及执行恶意终端命令的能力。

谷歌安全人员指出，这是一种典型的水坑攻击，攻击者根据访问者的个人资料选择要攻陷的网站，其攻击对象是 Mac 和 iPhone 用户。该水坑提供了一个 XNU 权限提升漏洞，当时在 macOS Catalina 中未修补。

结合目前的信息来看，有安全专家表示这很可能是一起针对性的网络攻击。谷歌TAG 研究员认为，攻击团队的资源非同一般的丰富，可能是得到了某些国家或地区的支持。

攻击者利用先前披露的 XNU 漏洞（编号为 CVE-2020-27932）和相关漏洞来创建特权提升漏洞，使他们能够在目标 Mac 上获得 root 访问权限。

一旦获得 root 访问权限，攻击者就会下载一个有效负载，该负载在受感染的 Mac 上在后台静默运行。谷歌人员结合调查结果和这些信息，判断这是一个攻击资源十分丰富的团队。

安全研究员帕特里克·沃德尔认同这个判断，因为其二进制文件安装后是通过中文来显示错误信息，这意味着该恶意软件很有可能是面向中国用户。该恶意软件通过社会工程方法进行部署，其2021版本正是为远程开发设计。

参考来源

https://thehackernews.com/2021/11/hackers-exploit-macos-zero-day-to-hack.html