Google揭露骇客利用macOS零时差漏洞攻击香港使用者

专门查找零时差漏洞的Google威胁分析小组（TAG）在本周，公布了骇客利用macOS零时差漏洞CVE-2021-30869的细节，指出他们是在今年的8月发现，有骇客锁定一个香港媒体网站，以及另一个著名民主团队的网站展开水坑攻击（Watering Hole），再开采CVE-2021-30869漏洞于受害者装置上植入木马程式。

根据TAG的分析，骇客利用这两个网站的嵌入式框架、自C&C服务器供应两个开采程式，分别锁定iOS与macOS，其中，针对iOS的开采程式利用了一个旧有的CVE-2019-8506漏洞，以于Safari上执行任意程式，针对macOS的开采程式则会先侦测使用者的操作系统版本，显示当以macOS Catalina（10.15）造访这些网站时，即会呈现完整的攻击链。

此一攻击链接合了在今年1月修补的WebKit远端程式攻击漏洞CVE-2021-1789，以及当时还没人知道的CVE-2021-30869漏洞。CVE-2021-30869存在于苹果操作系统所使用的XNU核心，它是个类型混淆漏洞，允许恶意程式以核心权限执行任意程式，苹果在收到Google的报告之后，9月便释出修补程式。

TAG指出，在成功开采相关漏洞之后，骇客即可于背景中下载恶意酬载，他们所观察到的酬载看起来像是软件工程的产物，它含有许多元件，有些为模组，主要功能包括搜集受害者装置的指纹、屏幕截图、下载或上传档案、执行终端命令、录音及侧录键盘等。

有鉴于该酬载的品质，TAG相信骇客拥有自己的软件工程团队，而且资源丰富，可能是国家支持的骇客集团。