Badacze Google ujawnili kilka dni temu, że pod koniec sierpnia wykryli atak typu „watering hole” wykorzystujący załataną już teraz podatność na systemach MacOS. Ataki „watering hole” (po angielsku wodopój), skupiają się najpierw na analizie przyzwyczajeń ofiary, np. śledzeniu z jakich witryn internetowych korzysta, a następnie zainfekowanie tych witryn, na których użytkownik czuje się bezpiecznie.

„Na podstawie naszych ustaleń uważamy, że podmiot odpowiedzialny za to zagrożenie jest dobrze zaopatrzoną grupą, prawdopodobnie wspieraną przez państwo, z dostępem do własnego zespołu inżynierów, ponieważ jakość kodu jest na najwyższym poziomie. — powiedział w raporcie Erye Hernandez, badacz z Google Threat Analysis Group (TAG).

Podatność o jakiej tutaj mowa to CVE-2021-30869 (wynik CVSS: 7,8) i dotyczy luki w zabezpieczeniach komponentu jądra XNU, która może spowodować, że złośliwa aplikacja wykona dowolny kod z najwyższymi uprawnieniami.

Witryny wykorzystywały do ataków dwie ramki iframe, które zawierały w sobie exploity z serwera kontrolowanego przez atakującego — jeden dla systemu iOS, a drugi dla systemu macOS.

Apple pierwotnie rozwiązał ten problem dla urządzeń z systemem macOS Big Sur w ramach aktualizacji zabezpieczeń wysłanej 1 lutego, aby potem uzupełnić ją samodzielną aktualizacją skierowaną do urządzeń z systemem macOS Catalina, jednak dopiero 23 września po doniesieniach o eksploatacji w środowisku naturalnym. 234 dni luki między dwiema poprawkami podkreśla fakt w jaki sposób niespójności w usuwaniu podatności w różnych wersjach systemu operacyjnego mogą zostać wykorzystane przez cyberprzestępców.

Ataki obserwowane przez TAG obejmowały łańcuch exploitów, które był połączone ze sobą. Błąd zdalnego wykonania kodu w WebKit, który został naprawiony w lutym 2021 r., oraz wspomniany CVE-2021-30869. Atakujący używają exploitów, aby wyrwać się z piaskownicy Safari, podnieść uprawnienia oraz pobrać i wykonać ładunek drugiego etapu o nazwie „MACMA” ze zdalnego serwera.

Wcześniej nieudokumentowane złośliwe oprogramowanie to w pełni funkcjonalny implant, który charakteryzuje się „rozległą inżynierią oprogramowania” z możliwością nagrywania dźwięku i przechwytywania naciśnięć klawiszy, „odcisków palców” urządzenia, przechwytywania ekranu, pobierania i przesyłania dowolnych plików oraz wykonywania złośliwych poleceń z terminala. Próbki backdoora przesłane do VirusTotal jeszcze kilka dni temu nie pokazywały żadnego zagrożenia. Teraz już, dzięki Google, IoC są znane i powszechne.

Strony internetowe, które zawierały złośliwy kod służący do obsługi exploitów z serwera kontrolowanego przez atakującego, działały również jako wodopój dla użytkowników iOS, choć wykorzystywały inny łańcuch exploitów dostarczany do przeglądarki ofiar. Google TAG powiedział, że był w stanie odzyskać tylko część przepływu infekcji, w którym do uzyskania wykonania kodu w Safari wykorzystano inną podatność – CVE-2019-8506.

Dodatkowe wskaźniki kompromitacji związane z tą kampanią można znaleźć tutaj.

Podziel się z innymi tym artykułem!