Хакеры заражали macOS бэкдором через уязвимость 0-day с помощью сайтов новостей

[Artifact]

Эксплоит для уязвимости нулевого дня доступен с апреля 2021 года, но Apple исправила ее только в сентябре.

Финансируемые правительством хакеры использовали политические новостные сайты в Гонконге для заражения компьютеров, работающих под управлением macOS, бэкдором путем эксплуатации связки из двух уязвимостей, в том числе одной ранее неизвестной. Атаки начались как минимум с августа 2021 года.
Первая в связке - уязвимость удаленного выполнения кода в WebKit ( CVE-2021-1789 , исправлена 5 января 2021 года), а вторая - уязвимость локального повышения привилегий в компоненте ядра XNU ( CVE-2021-30869 , исправлена 23 сентября 2021 года).
С их помощью злоумышленники получали привилегии суперпользователя на атакуемой macOS и загружали, а затем устанавливали на нее вредоносное ПО MACMA или OSX.CDDS.
Этот никогда ранее не встречавшийся вредонос обладает функциями, характерными как для бэкдора, так и для шпионского ПО и позволяет:

• Создавать отпечаток устройства для его идентификации в будущем;


• Делать скриншоты;


• Записывать нажатия кнопок на клавиатуре;


• Записывать аудио;


• Загружать и выгружать файлы;


• Выполнять команды терминала.

Атаки с использованием вышеупомянутой связки уязвимостей были обнаружены специалистами Google Threat Analysis Group (TAG), которые сообщили об уязвимости нулевого дня компании Apple, чтобы она могла ее исправить.
Согласно отчету Google TAG, злоумышленники также атаковали пользователей iOS-устройств, но с помощью другой связки уязвимостей, раскрыть которые специалисты пока не могут.
Эксплоит для уязвимости нулевого дня находится в открытом доступе еще с апреля 2021 года, когда его представили исследователи из Pangu Lab на конференции zer0con21. Также он был представлен на Mobile Security Conference (MOSEC) в июле.
Сообщили ли специалисты Pangu Lab об уязвимости Apple, а компания просто долго не выпускала исправление, неизвестно.
Исследователи из Google TAG описали стоящих за атаками хакеров как "хорошо финансируемую группу, вероятно, работающую на правительство, и, судя по качеству кода, с доступом к собственной команде инженеров ПО".
Специалисты не отнесли атаки ни на счет какого-либо конкретного государства, ни на счет известных киберпреступных группировок.