Zainfekowali exploitami serwisy newsowe. Odwiedzasz – mają pełen dostęp (admina) na Twoim komputerze [Hong Kong]

Wiele osób myśli – mamy kolejne zabezpieczenia w przeglądarkach, frameworkach, systemach operacyjnych. Jest też większa świadomość zagrożeń. Zatem Internet zmierza ku bardziej bezpiecznemu Internetowi! Naszym zdaniem jest jednak inaczej – niestety obrońcy przegrywają z napastnikami.

Grupy APT z kolei uruchamiają coraz to bardziej śmiałe i skuteczne akcje. Zobaczcie na wpis przygotowany przez ekipę Google.

Najpierw zainfekowano w pewien sposób wybrane serwisy webowe w Hong Kongu i umieszczono w ich treści exploity:

TAG discovered watering hole attacks targeting visitors to Hong Kong websites for a media outlet and a prominent pro-democracy labor and political group.

W operacji użyto miksu dwóch podatności, z czego jedna była 0-dayem:

The watering hole served an XNU privilege escalation vulnerability (CVE-2021-30869) unpatched in macOS Catalina, which led to the installation of a previously unreported backdoor. The exploit chain combined an RCE in WebKit exploiting CVE-2021-1789 which was patched on Jan 5, 2021 before discovery of this campaign and a 0-day local privilege escalation in XNU (CVE-2021-30869) patched on Sept 23, 2021.

Exploit celował najpierw w przeglądarkę Safari, a później uzyskiwał uprawnienia root w systemie (po drodze następowało też wyskoczenie z sandboksa oferowanego przez Safari).

Instalowany finalnie backdoor dawał takie możliwości jak:

• Wykonywanie zrzutów ekranowych
• Keylogger
• Nagrywanie audio
• Upload/download plików
• Wykonywanie dowolnych poleceń w OS

Jakość i skuteczność działania exploitu / backdoora skłania badaczy Google do podejrzenia, że w tym przypadku zadziałała jedna z grup z finansowaniem rządowym i własnym teamem odpowiadającym za odpowiednie przystosowanie złośliwego kodu:

Based on our findings, we believe this threat actor to be a well-resourced group, likely state backed, with access to their own software engineering team based on the quality of the payload code.

~Michał Sajdak