以色列公司利用Windows 0day制出間諜軟件，瞄準學者和活動人士

7月16日消息，安全實驗室專家稱，以色列監控公司Candiru（也被稱作“Sourgum”）利用Windows零日漏洞發布了一款新間諜軟件——DevilsTongue。

微軟和Citizen Lab表示，至少有10個國家的知名活動人士、記者和政府異見人士遭受了這款DevilsTongue間諜軟件攻擊，波及人數達百余人。

“一個私營企業可以隨意制造和販賣網絡武器的世界，對消費者、各級企業和政府來說是危險的。我們對此嚴陣以待，已經攔截了Candiru制造和出售的部分網絡武器。”微軟發布的帖子寫道，“攔截的這些武器被用于對來自世界各地的一百多位受害者進行精準襲擊，包括政界人士、人權活動人士、記者、學者、使館工作人員和政治異見人士。”

Candiru專門向政府銷售監控軟件，其間諜軟件可以監視iPhone、Android、Mac、PC和云賬戶。

Citizen Lab稱，“我們與微軟威脅情報中心（MSTIC）合作，對該間諜軟件進行了分析，結果發現Candiru利用了CVE-2021-31979和CVE-2021-33771這兩個特權升級漏洞。微軟于2021年7月13日修補了這兩個漏洞。”

微軟在調查中發現受害者分布在巴勒斯坦、以色列、伊朗、黎巴嫩、也門、西班牙、英國、土耳其、亞美尼亞和新加坡等國家。

受Candiru影響的載體

據TheMarker報道，Candiru的間諜軟件可以通過不同的載體部署，包括惡意鏈接、中間人攻擊和物理攻擊。該公司還提供一種名為“Sherlock”（夏洛克）的感染載體，可以在Windows、iOS和Android系統上運行。Citizen Lab的專家認為，Sherlock可能是一個基于瀏覽器的零點擊載體。

通過網絡掃描，研究人員發有750多個網站屬于Candiru的間諜軟件基礎設施。該公司使用的域名偽裝成宣傳組織、媒體公司和其他以公民及社會為主題的實體。

該間諜軟件允許操作者監視受害者、收集敏感數據、解密并竊取Windows設備上的信號信息、竊取主要網絡瀏覽器的信息。

它還可以黑進目標用戶的電子郵件和社交帳戶發布信息，運營商可以利用這一功能向受害者的聯系人發送惡意信息。

“Candiru目前的廣泛傳播以及它對公民社會濫用監視技術，都有力地提醒我們，間諜軟件供應行業十分混亂，玩家眾多。此案再次證明，在沒有任何國際保障措施或強有力的政府出口控制的情況下，間諜軟件供應商會講軟件出售給經常濫用監控技術的客戶，而這些客戶缺乏國內和國外安全機構的強有力監管。”Citizen Lab總結道。