总部位于以色列的NSOGroup利用AppleiMessage中未知的零点击漏洞在政治家、记者和社会活动家的iPhone上植入Pegasus或Candiru恶意软件。CitizenLabs周一在一份报告中公布了调查结果,称65人通过名为HOMAGE的iPhone漏洞感染了恶意软件。报告称,以色列公司NSOGroup和第二家公司Candiru是2017年至2020年间发生的袭击事件的幕后黑手。Candiru,也称为Sourgum,是一家商业公司,据称向世界各国政府出售DevilsTongue恶意监控软件。AppleiMessageHOMAGE攻击是一种所谓的零点击攻击,这意味着恶意软件可以偷偷安装在预定目标上,而无需受害者进行任何交互。自2019年起,苹果iOS软件版本不再受HOMAGE攻击影响。加泰罗尼亚的政治家和活动家成为目标公民实验室报告的作者写道,黑客攻击遍及加泰罗尼亚国家社会的各个部门,从学者和活动家到一些非政府组织。组织(非政府组织)。加泰罗尼亚政府和民选官员也成为广泛攻击的目标,包括约翰·斯科特·里尔登、埃利斯·坎波、比尔·马尔扎克、巴赫·阿卜杜勒·勒·拉扎克、西耶娜·安斯蒂斯、戈兹德·贝尔库、萨尔瓦多·索利马诺和罗恩·迪伯特。他们写道,从加泰罗尼亚政府的最高层到欧洲议会的议员、立法者以及他们的工作人员和家庭成员都成为目标。谁进行了攻击?研究人员表示,他们最终并没有查明是哪个组织在幕后策划了这次行动,但有证据表明,西班牙当局可能是这次行动的幕后黑手。它指出西班牙国家情报中心(CNI)可能是主谋,并引用了该组织之前的监视和间谍丑闻历史。恶意软件的具体分析以Catalonia为目标的攻击者至少使用了两种攻击方式来攻击受害者:零点击攻击和恶意短信。鉴于零点击攻击不需要受害者进行任何交互,因此很难防御。据CitizenLab称,攻击者利用了iOS中的零点击漏洞(HOMAGE)和NSOGroup用来传播其Pegasus恶意软件的恶意SMS漏洞。“HOMAGE漏洞似乎仅在2019年的最后几个月才被犯罪分子利用,使用iMessage零点击组件,”研究人员写道。在com.apple.mediastream.mstreamd进程中启动一个WebKit实例,并在com.apple.private.alloy.photostream中查找Pegasus电子邮件地址。据报道,HOMAGE在2019年和2020年也被使用了6次。CitizenLab表示,运行大于13.1.3(2019年9月发布)移动操作系统版本的苹果设备将不会受到攻击。攻击使用了KISMET零-据其他恶意软件和漏洞研究人员称,点击漏洞最近也被用于网络攻击。攻击可能与沙特阿拉伯或阿拉伯联合酋长国有关。NSOGroup在CitizenLab曾在2019年报告过对Catalonia的攻击,并于2019年5月发布了补丁。当时,《金融时报》报告了一家据信是NSOGroup的私营公司的零日攻击。研究人员表示,作为一部分在针对Catalonia的攻击中,有四个人使用了CandiruSpywareInc.的间谍软件成为受害者。这些攻击将试图利用两个现已修补的零日漏洞(CVE-2021-31979、CVE-2021-33771)获取特权升级。两者均由微软发现并于2021年7月修补。研究人员写道,我们在这里总共发现了七封包含Candiru间谍软件的电子邮件,所有这些电子邮件都包含指向stat[.]email的链接。Candiru的间谍软件还表明,Candiru是一种旨在攻击各种设备的工具。该工具可以窃取设备的文件和浏览器的相关内容,还可以窃取保存在加密的SignalMessengerDesktop应用程序中的信息。2021年8月,CitizenLabs报告称,NSOGroup的Pegasus间谍软件最近使用以前未发现的零点击iMessaging漏洞来非法监视巴林的政治活动家。CitizenLabs认为这些攻击是“大规模和不受控制的滥用”用户隐私的例子,表明当前严重缺乏对向政府客户和其他人出售间谍软件的监管限制。现在可以肯定的是,NSOGroup、Candiru和其他公司在同行业及其各个团体,还没有完全建立防止间谍软件滥用的基本保障措施。本文翻译自:https://threatpost.com/catalangate-spyware/179336/如有转载请注明出处。
