นักวิจัยจากกูเกิ้ลเปิดเผยเมื่อวันพฤหัสบดีที่ 11 พฤศจิกายน พ.ศ 2564 พบจากการโจมตี watering hole ที่เป็น zero-day มีผลกับระบบปฏิบัติการ macOS ซึ่งมุ่งเป้าโจมตีไปยังผู้ที่เข้าใช้งานกลุ่มเว็บไซต์ที่เป็นสื่อและการเมืองของประเทศฮ่องกง โดยการฝั่งโค้ดอันตรายในเว็บไซต์ก่อนทำการติดตั้ง Backdoor ในเครื่องผู้ใช้งานกลุ่มเว็บไซต์ดังกล่าวในช่วงปลายเดือนสิงหาคม พ.ศ. 2564
ทีมนักวิจัย Google Threat Analysis Group (TAG) โดยคุณ Erye Hernandez ได้กล่าวในรายงานถึงคุณภาพในการทำ Payload ซึ่งเป็นหลักฐานที่ทำให้เชื่อได้ว่าเป็นการสนับสนุนจากภาครัฐ
บริษัท Apple ได้ทำการอัปเดตด้านความมั่นคงปลอดภัยให้กับ macOS Big Sur ในวันที่ 1 กุมภาพันธ์ พ.ศ. 2564 และอัปเดตให้กับ macOS Catalina ในวันที่ 23 กันยายน พ.ศ. 2564 การอัปเดตที่มีระยะเวลาห่างกันถึง 234 วัน จึงเป็นช่องทางให้เกิดการโจมตีกับ macOS Catalina ได้
รูปที่ 1
อ้างอิง https://thehackernews.com/
จากรูปที่ 1 การโจมตีที่ตรวจพบโดย TAG พบการใช้ 2 ช่องโหว่เพื่อทำงานร่วมกันโดยใช้ช่องโหว่ CVE-2021-1789[1] ที่เป็นการโจมตีระยะไกลอาศัยจุดบกพร่องของ WebKit และใช้ช่องโหว่ CVE-2021-30869[2] ที่มีผลกับเคอร์เนิลส์ KNU เพื่อยกระดับสิทธิ์หลังจากนั้นทำการดาวน์โหลดไฟล์ที่เป็นอันตรายที่เรียกว่า “MACMA” เพื่อสั่งควบคุมคอมพิวเตอร์ที่ตกเป็นเหยื่อจากระยะไกลโดยผู้ไม่ประสงค์ดี ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ จับภาพหน้าจอ ดาวน์โหลด อัปโหลด ใช้บรรทัดคำสั่ง บันทึกเสียง รวมถึงดักจับการพิมพ์ของผู้ใช้งาน
รูปที่ 2
อ้างอิง https://storage.googleapis.com/
จากรูปที่ 2 เป็นตัวอย่างโค้ดที่ใช้ในการถอด Capstone[3] โดยทั่วไปแล้ว Capstone จะมีหน้าที่ใช้สำหรับวิเคราะห์ไบนารี ซึ่งผู้ไม่ประสงค์ดีได้นำมาใช้เพื่อค้นหาที่อยู่ของ dlopen และ dlsym จากหน่วยความจำ เมื่อโหลด Mach-O แบบฝังแล้ว ที่อยู่ dlopen และ dlsym ที่พบโดยใช้ Capstone จะถูกใช้เพื่อแพตช์ Mach-O ที่โหลดอยู่ในหน่วยความจำ ทำให้สามารถหลบหนีจาก Sandbox ของ Safari และยกระดับสิทธิ์ได้อีกด้วย
อย่างไรก็ตามผู้ใช้งาน macOS ควรรีบทำการการอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันการโจมตีจากผู้ไม่ประสงค์ดี ที่อาจส่งผลให้ผู้ใช้งาน macOS ตกเป็นเป้าหมายได้ เพียงแค่การเปิดใช้งานเว็บไซต์ที่เผยแพร่ทางอินเทอร์เน็ตเท่านั้น
อ้างอิง
ที่มา: https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits
ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์
ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง
เผยแพร่ : วันที่ 23 พฤศจิกายน 2564