谷歌( Google )研究人员周四披露，他们在 8 月底发现了一个利用 macOS 操作系统中现已打上补丁的“零日”( zero - day )进行攻击的漏洞，攻击目标是与一家媒体和一个支持民主的知名劳工和政治团体有关的香港网站，目的是在遭到攻击的机器上提供一个从未见过的后门。

“根据我们的调查结果，我们认为这个威胁行为者是一个资源充足的群体，可能有国家支持，根据有效负载代码的质量，可以访问他们自己的软件工程团队，”谷歌威胁分析小组（ TAG ）研究员埃尔耶·埃尔南德斯在一份报告中说。

追踪到 CVE - 2021 - 30869（ CV SS 评分：7.8分）安全缺陷涉及一个类型混淆漏洞，该漏洞会影响 X NU 内核组件，从而导致恶意应用程序以最高权限执行任意代码。

苹果最初将 macOS Big Sur 设备的问题作为 2 月 1 日发货的安全更新的一部分来解决，但在 9 月 23 日有报道称在野生环境中被利用后，苹果又推出了针对 macos Catalina 设备的独立更新——两个补丁之间的差距为 234 天——这突显了一个案例，即在解决操作系统不同版本之间的漏洞时出现的不一致，可能会被威胁参与者利用为自己的优势。

TAG 观察到的攻击涉及一个串联在一起的 CVE - 2021 - 1789 漏洞链，WebKit 中的一个远程代码执行 bug 于 2021 年 2 月修复，前面提到的 CVE - 2021 - 30869 可以突破 Safari 沙箱，提升权限，从远程服务器下载并执行名为“ MA CMA ”的第二阶段有效负载。

Google TAG 称，这款此前未被证的恶意软件是一款功能齐全的植入软件，其特点是“广泛的软件工程”，具有记录音频和击键、为设备采集指纹、捕捉屏幕、下载和上传任意文件以及执行恶意终端命令的功能。上传到 Virus Total 的后门示例显示，目前没有反恶意软件引擎检测到文件为恶意。

据安全研究员 Patrick Wardle 称， 2019 年的 MA CMA 变种伪装成 Adobe Flash Player ，二进制文件在安装后显示中文错误信息，表明“该恶意软件面向中国用户”，“该版本的恶意软件旨在通过社会工程方法部署。“而 2021 版本则是为远程开发而设计的。

这些网站含有恶意代码，从一个攻击者控制的服务器服务漏洞，也作为一个水坑目标 iOS 用户，尽管使用不同的漏洞链交付给受害者的浏览器。Google TAG 表示，它只能恢复部分感染流，其中一个类型混淆 bug （ CVE - 2019 - 8506 ）被用于在 Safari 中获得代码执行。

与该运动有关的其他妥协指标( IOC )可在此查阅。