Windows 漏洞利用和 DevilsEye 间谍软件与以色列 Candiru 公司有关
专家来自 微软 和 公民实验室 谈到了 DevilsEye 间谍软件, 这是由以色列公司 Candiru 开发的, 然后卖给不同国家的政府. DevilsEye 至少检测到 100 系统上的高级目标, 而浏览器和 Windows 中的 0-day 漏洞被用来感染它们.
研究人员表示,以色列公司 Candiru 支持开发至少两个针对 Windows 中的零日漏洞漏洞利用,这些漏洞已被用于攻击和部署以前未知的 DevilsEye 间谍软件. 这种恶意软件影响了政客, 人权捍卫者, 积极分子, 记者, 学者, 世界各地的大使馆和持不同政见者.
据了解,坎迪鲁 (微软称之为代号 Sourgum) 成立于 2014. 虽然它的空缺 早就说清楚了 该公司涉及网络安全问题, 以前他们对坎迪鲁的活动几乎一无所知. 现在, 感谢微软和公民实验室的报告, 很明显,该公司的工具正在帮助其客户感染和接管 iPhone 的控制权, 安卓, 苹果, 个人电脑, 和云账户.
这个间谍软件是由公民实验室的研究人员在对属于未命名设备的设备进行网络取证检查时首次发现的。 “来自西欧的政治活动家。” 通过与 Microsoft 分享他们的发现, 研究人员至少能够找到 100 巴勒斯坦等国家的其他魔鬼眼受害者, 以色列, 伊朗, 黎巴嫩, 也门, 西班牙, 英国, 火鸡, 亚美尼亚, 和新加坡.
研究人员强调,攻击链很复杂,直到最近才被利用的未知零日漏洞: 在 Chrome 浏览器中 (CVE-2021-21166 和 CVE-2021-30551), 在 Internet Explorer 中 (CVE-2021-33742), 还有两个在 Windows 中 (CVE-2021-31979 和 CVE-2021-33771). 现在, 制造商已经解决了所有这些问题.
前三个漏洞已经在 谷歌最近的报告, 它还将对 Chrome 和 IE 中的漏洞的攻击与一个未命名的 “商业监控公司。” 谷歌表示,这些漏洞被出售给了至少两组 “政府黑客” 谁用它们攻击亚美尼亚的目标. 现在谷歌更新了它的报告,并将这些问题的利用与以色列坎迪鲁联系起来.
DevilsTongue 使其运营商能够窃取受害者’ 档, 从 Windows 设备上的 Signal 解密和窃取消息, 并从 Chrome 中窃取 cookie 和保存的密码, IE浏览器, 火狐, Safari 和 Opera 浏览器.
DevilsTongue 还可能将存储在受害者计算机上的 cookie 用于 Facebook 等网站, 推特, Gmail, 雅虎, 邮件.ru, Odnoklassniki 和 Vkontakte 收集机密信息, 阅读消息并提取照片. 在一些列出的网站上, 间谍软件甚至可以代表受害者向其他人发送消息. Some of the anti-spyware tools can prevent such a behaviour, but stopping it requires additional efforts.
公民实验室分析师表示,Candiru 的雇佣黑客能力远远超出谷歌和微软专家的预测. 根据公民实验室, 多于 750 已经发现托管 Candiru 的域, 包括阿联酋和沙特阿拉伯的大型集群, 表明这两个国家是该公司的一些最大客户.
其中一些域名被伪装成人权组织,例如国际特赦组织, 黑人的命也是命运动, 和媒体公司, 主要专家得出的结论是袭击主要针对活动家.
克里斯汀古德温, 微软数字安全主管, 写 像 Candiru 这样的公司多年来一直在向攻击者提供网络武器, 许多国家的政府使用这些黑客工具对付民间社会成员, 不要追查罪犯. 古德温呼吁打击此类公司, 其产品被积极用于侵犯人权.
你也可以在这里阅读 BIOPASS 恶意软件使用 OBS Studio 流媒体软件 记录受害者屏幕和 如何摆脱间谍软件终结者假系统优化器?