以色列公司利用Windows 0day制出间谍软件，瞄准学者和活动人士

7月16日消息，安全实验室专家称，以色列监控公司Candiru（也被称作“Sourgum”）利用Windows零日漏洞发布了一款新间谍软件——DevilsTongue。

微软和Citizen Lab表示，至少有10个国家的知名活动人士、记者和政府异见人士遭受了这款DevilsTongue间谍软件攻击，波及人数达百余人。

“一个私营企业可以随意制造和贩卖网络武器的世界，对消费者、各级企业和政府来说是危险的。我们对此严阵以待，已经拦截了Candiru制造和出售的部分网络武器。”微软发布的帖子写道，“拦截的这些武器被用于对来自世界各地的一百多位受害者进行精准袭击，包括政界人士、人权活动人士、记者、学者、使馆工作人员和政治异见人士。”

Candiru专门向政府销售监控软件，其间谍软件可以监视iPhone、Android、Mac、PC和云账户。

Citizen Lab称，“我们与微软威胁情报中心（MSTIC）合作，对该间谍软件进行了分析，结果发现Candiru利用了CVE-2021-31979和CVE-2021-33771这两个特权升级漏洞。微软于2021年7月13日修补了这两个漏洞。”

微软在调查中发现受害者分布在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡等国家。

受Candiru影响的载体

据TheMarker报道，Candiru的间谍软件可以通过不同的载体部署，包括恶意链接、中间人攻击和物理攻击。该公司还提供一种名为“Sherlock”（夏洛克）的感染载体，可以在Windows、iOS和Android系统上运行。Citizen Lab的专家认为，Sherlock可能是一个基于浏览器的零点击载体。

通过网络扫描，研究人员发有750多个网站属于Candiru的间谍软件基础设施。该公司使用的域名伪装成宣传组织、媒体公司和其他以公民及社会为主题的实体。

该间谍软件允许操作者监视受害者、收集敏感数据、解密并窃取Windows设备上的信号信息、窃取主要网络浏览器的信息。

它还可以黑进目标用户的电子邮件和社交帐户发布信息，运营商可以利用这一功能向受害者的联系人发送恶意信息。

“Candiru目前的广泛传播以及它对公民社会滥用监视技术，都有力地提醒我们，间谍软件供应行业十分混乱，玩家众多。此案再次证明，在没有任何国际保障措施或强有力的政府出口控制的情况下，间谍软件供应商会讲软件出售给经常滥用监控技术的客户，而这些客户缺乏国内和国外安全机构的强有力监管。”Citizen Lab总结道。