一组独特的间谍软件,由一家以色列公司创建,据称被世界各国政府用来监视持不同政见者的微软已经被发现。该恶意软件首先由多伦多大学Munk全球事务学院的跨学科实验室CitizenLab和Microsoft共同披露。根据CitizenLab的数据,在2014年至2020年间,这家私营公司共更改了五家公司名称,分别是Candiru、DFAssociates、GrindavikSolutions、Taveta和SaitoTech。据报道,该公司仅向政府销售其产品。根据周四发布的一份公告,新的间谍软件DevilsTongue已被用于利用Windows中的一对零日漏洞对公民社会进行高度针对性的网络攻击,该漏洞现已修补。CitizenLab和微软表示,DevilsTongue间谍软件针对至少10个国家/地区的数百名知名活动家,包括政治家、人权活动家、记者、学者、大使馆工作人员和持不同政见者。监控对象位于全球50多个国家,包括亚美尼亚、伊朗、以色列、黎巴嫩、巴勒斯坦、新加坡、西班牙、土耳其、英国和也门。“Sourgum通常销售网络武器,使其客户(通常是世界各地的政府机构)能够侵入目标的计算机、电话、网络基础设施和互联网连接设备,然后这些机构选择目标和实际操作对象。”CitizenLab的研究人员表示,DevilsTongue可以窃取各种帐户的数据和消息,包括Facebook、Gmail、Skype和Telegram。间谍软件还可以捕获浏览历史记录、cookie和密码,打开目标的网络摄像头和麦克风,并采取屏幕截图该公司表示:“从SignalPrivateMessenger等其他应用程序获得的数据作为附加组件出售。”微软指出,被盗的cookie稍后可能被攻击者用来作为受害者登录网站以进行进一步调查。收集消息。CitizenLab研究人员表示,该代码可以感染和监控Android手机、云帐户、iPhone、Mac和PC,并指出DevilsTongue的命令和控制(C2)基础设施涉及750多个网站,包括“伪装成倡导团体的域”,例如大赦国际、BlackLivesMatter运动和媒体公司。”根据CitizenLab获得的一份泄露的提案,数百万欧元的Deviltongue作为一个套件可能花费数百万欧元。它可以部署在各种攻击媒介中,包括通过恶意链接、电子邮件中的附件和中间人攻击。成本取决于用户想要维持的并发感染数量。“耗资1600万欧元的项目提案允许进行无限次的间谍软件感染尝试,但只能同时监控10台设备,”CitizenLab表示。“额外支付150万欧元,客户可以购买同时监控15台额外设备的能力,以及在另一个国家/地区的额外受感染设备;间谍活动。”它补充说:“客户可以额外支付150万欧元购买远程shell功能,这使他们能够完全访问目标计算机上运行的任何命令或程序。这种能力尤其值得关注,因为它还可以用于下载文件,例如将犯罪材料等植入受感染的设备。”DevilsTongue在中国、伊朗、以色列、俄罗斯和美国等少数国家的使用受到限制。但它显然存在漏洞。“微软观察伊朗的Candiru受害者,暗示在某些情况下,Candiru产品被CitizenLab研究人员说:“确实在受限地区运营。”此外,本报告中披露的目标基础设施包括俄罗斯邮政服务的领域。0-dayexploit这款间谍软件利用了Windows中的两个提权安全漏洞,CVE-2021-31979和CVE-2021-33771,这两个漏洞都包含在本周的微软7月补丁中,修复于周二的更新中。微软指出,这些攻击是携带通过“影响流行浏览器和我们的Windows操作系统的一系列漏洞利用”。这两个漏洞都允许攻击者逃离浏览器沙箱并获得内核代码执行,微软表示:CVE-2021-31979:基于WindowsNT的操作系统(NTOS)中的整数溢出。“此溢出导致错误计算的缓冲区大小,然后用于在内核池中分配缓冲区。将内存复制到小于预期的目标缓冲区时会发生缓冲区溢出。可以利用此漏洞破坏对象中的对象相邻的内存分配。使用来自用户模式的API,可以通过受控分配来组织内核池内存布局,从而将对象放置在相邻的内存位置。一旦缓冲区溢出损坏,该对象就可以转换为用户模式到内核-模式读/写原语。利用这些原语,攻击者可以提升他们的特权。”CVE-2021-33771:NTO中的竞争条件导致内核对象被释放然后再次使用。“通过使用多个竞争线程,可以释放内核对象,释放的内存可以由可控对象回收,”微软解释道。“与以前的漏洞一样,用户模式??API可用于向内核池内存分配分配。如果成功,可控对象可用于将用户模式形成为内核模式读/写原语并提升权限。”微软表示,除了修补之外,为了减轻攻击,它还“在我们的产品中内置了针对Sourgum创建的恶意软件的保护措施”。“这些主要针对消费者帐户的攻击表明,Sourgum的客户正在追踪特定的个人。我们本周发布的保护措施将阻止Sourgum的工具在已经被感染的计算机上运行,??并将防止对更新的计算机的攻击,在装有防病毒软件的计算机和使用MicrosoftDefenderforEndpoint的计算机上运行MicrosoftDefender新感染。”用于政府监视的网络攻击工具包的私人中介已在网上曝光,这在很大程度上要归功于另一家以色列公司NSOGroup,该公司创建了Pegasus间谍软件,使客户能够远程利用和监视移动设备。NSOGroup长期以来一直坚持其工具包旨在成为政府打击犯罪和恐怖主义的工具,并且不会与任何政府滥用它。然而,批评人士表示,威权政府将其用于更邪恶的目的,追查持不同政见者、记者和其他民间社会成员——而NSOGroup帮助了他们。去年12月,Pegasus在iPhone的AppleiMessage功能中添加了一个零日漏洞。本文翻译自:https://threatpost.com/windows-zero-days-israeli-spyware-dissidents/167865/如有转载请注明出处。
