idNSA.id - Peneliti Google pada hari Kamis mengungkapkan bahwa mereka menemukan serangan pada akhir Agustus yang mengeksploitasi sistem operasi mac OS yang sekarang ditambal dan menargetkan situs web Hong Kong yang terkait dengan outlet media dan kelompok buruh dan politik pro-demokrasi terkemuka untuk menyampaikan backdoor yang belum pernah dilihat sebelumnya pada mesin yang disusupi.
"Berdasarkan temuan kami, kami yakin pelaku ancaman ini adalah kelompok dengan sumber daya yang baik, kemungkinan didukung oleh negara, dengan akses ke tim rekayasa perangkat lunak mereka sendiri berdasarkan kualitas kode muatan," peneliti Google Threat Analysis Group (TAG) Erye menurut Hernandez dalam sebuah laporan.
Dilacak sebagai CVE-2021-30869 (skor CVSS: 7.8), kelemahan keamanan menyangkut kerentanan kebingungan tipe yang memengaruhi komponen kernel XNU yang dapat menyebabkan aplikasi jahat mengeksekusi kode arbitrer dengan hak istimewa tertinggi.
Apple awalnya membahas masalah untuk perangkat macOS Big Sur sebagai bagian dari pembaruan keamanan yang dikirimkan pada 1 Februari, hanya untuk menindaklanjutinya dengan pembaruan mandiri yang ditujukan untuk perangkat macOS Catalina pada 23 September menyusul laporan eksploitasi di alam liar — celah dari 234 hari antara dua patch — menggarisbawahi kasus bagaimana inkonsistensi dalam menyelesaikan kerentanan di berbagai versi sistem operasi dapat dieksploitasi oleh aktor ancaman untuk keuntungan mereka.
Serangan yang diamati oleh TAG melibatkan rantai eksploit yang dirangkai CVE-2021-1789 , bug eksekusi kode jarak jauh di WebKit yang diperbaiki pada Februari 2021, dan CVE-2021-30869 yang disebutkan di atas untuk keluar dari kotak pasir Safari, meningkatkan hak istimewa , dan unduh serta jalankan payload tahap kedua yang dijuluki "MACMA" dari server jarak jauh.
Malware yang sebelumnya tidak terdokumentasi ini, implan berfitur lengkap, ditandai oleh "rekayasa perangkat lunak yang luas" dengan kemampuan untuk merekam audio dan penekanan tombol, sidik jari perangkat, menangkap layar, mengunduh dan mengunggah file arbitrer, dan menjalankan perintah terminal berbahaya, kata Google TAG . Sampel pintu belakang yang diunggah ke VirusTotal mengungkapkan bahwa tidak ada mesin anti-malware yang saat ini mendeteksi file sebagai berbahaya.
Menurut peneliti keamanan Patrick Wardle , varian 2019 dari MACMA menyamar sebagai Adobe Flash Player, dengan biner yang menampilkan pesan kesalahan dalam bahasa China pasca-pemasangan, menunjukkan bahwa "malware ditujukan untuk pengguna China" dan bahwa "versi ini dari malware dirancang untuk disebarkan melalui metode rekayasa sosial." Versi 2021, di sisi lain, dirancang untuk eksploitasi jarak jauh.
Situs web, yang berisi kode berbahaya untuk melayani eksploitasi dari server yang dikendalikan penyerang, juga bertindak sebagai lubang berair untuk menargetkan pengguna iOS, meskipun menggunakan rantai eksploitasi berbeda yang dikirimkan ke browser korban. Google TAG mengatakan itu hanya dapat memulihkan sebagian dari aliran infeksi, di mana bug tipe kebingungan ( CVE-2019-8506 ) digunakan untuk mendapatkan eksekusi kode di Safari.
Indikator kompromi tambahan (IoC) yang terkait dengan kampanye dapat diakses di sini .
