Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zainfekowali exploitami serwisy newsowe. Odwiedzasz – mają pełen dostęp (admina) na Twoim komputerze [Hong Kong]

12 listopada 2021, 12:03 | W biegu | komentarze 3

Wiele osób myśli – mamy kolejne zabezpieczenia w przeglądarkach, frameworkach, systemach operacyjnych. Jest też większa świadomość zagrożeń. Zatem Internet zmierza ku bardziej bezpiecznemu Internetowi! Naszym zdaniem jest jednak inaczej – niestety obrońcy przegrywają z napastnikami.

Grupy APT z kolei uruchamiają coraz to bardziej śmiałe i skuteczne akcje. Zobaczcie na wpis przygotowany przez ekipę Google.

Najpierw zainfekowano w pewien sposób wybrane serwisy webowe w Hong Kongu i umieszczono w ich treści exploity:

TAG discovered watering hole attacks targeting visitors to Hong Kong websites for a media outlet and a prominent pro-democracy labor and political group.

W operacji użyto miksu dwóch podatności, z czego jedna była 0-dayem:

The watering hole served an XNU privilege escalation vulnerability (CVE-2021-30869) unpatched in macOS Catalina, which led to the installation of a previously unreported backdoor. The exploit chain combined an RCE in WebKit exploiting CVE-2021-1789 which was patched on Jan 5, 2021 before discovery of this campaign and a 0-day local privilege escalation in XNU (CVE-2021-30869) patched on Sept 23, 2021.

Exploit celował najpierw w przeglądarkę Safari, a później uzyskiwał uprawnienia root w systemie (po drodze następowało też wyskoczenie z sandboksa oferowanego przez Safari).

Instalowany finalnie backdoor dawał takie możliwości jak:

  • Wykonywanie zrzutów ekranowych
  • Keylogger
  • Nagrywanie audio
  • Upload/download plików
  • Wykonywanie dowolnych poleceń w OS

Jakość i skuteczność działania exploitu / backdoora skłania badaczy Google do podejrzenia, że w tym przypadku zadziałała jedna z grup z finansowaniem rządowym i własnym teamem odpowiadającym za odpowiednie przystosowanie złośliwego kodu:

Based on our findings, we believe this threat actor to be a well-resourced group, likely state backed, with access to their own software engineering team based on the quality of the payload code.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wojtek

    No, ale chwila. Jeśli user korzysta z konta bez uprawnień admina też jest w takim wypadku zagrożony?

    Odpowiedz
  2. asdsad

    Rozumiem, że tutaj żadna praca na lokalnym koncie nic nie pomagała. Czyli co zostaje? Wirtualizacja każdego programu?

    Odpowiedz
  3. P

    Może w przyszłości jakieś szkolenie, jak wykrywać takie incydenty u siebie, jak szukać śladów takich zdarzeń oraz jak w posporzątać po takim czymś?

    Odpowiedz

Odpowiedz