網(wǎng)絡(luò)安全公司 Avast，剛剛將一個(gè)在 Google Chrome 瀏覽器中被積極利用（現(xiàn)已修復(fù)）的零日漏洞，與一家針對(duì)中東記者的以色列間諜軟件制造商聯(lián)系了起來(lái)。據(jù)悉，作為一家總部位于特拉維夫的黑客雇傭公司，Candiru（又稱 Saito Tech）與此前被卷入丑聞的 NSO Group 非常相似，主要向政府客戶提供強(qiáng)大的間諜軟件。

（來(lái)自：Avast）

盡管 Candiru 冠冕堂皇地宣稱，其軟件旨在供政府與執(zhí)法機(jī)構(gòu)用來(lái)阻止?jié)撛诘目植乐髁x和犯罪。

但研究人員發(fā)現(xiàn)，有關(guān)部門在利用間諜軟件針對(duì)記者、不同政見者和鎮(zhèn)壓制度批評(píng)者。

去年 11 月，美政府將四家從事違反美國(guó)國(guó)家安全活動(dòng)的外國(guó)公司，列入了美國(guó)商務(wù)部的制裁名單。

除了 NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和 Positive Technologies，Candiru 也榜上有名。

注入受感染網(wǎng)站（stylishblock[.]com）的惡意代碼

Avast 表示，其在 3 月份觀察到 Candiru 在利用 Chrome 零日漏洞，向土耳其、也門、巴勒斯坦的個(gè)人和黎巴嫩的記者發(fā)起了攻擊，并且侵入了一家新聞機(jī)構(gòu)員工使用的網(wǎng)站。

Avast 惡意軟件研究員 Jan Vojtě?ek 表示：“雖然無(wú)法確定攻擊者的真實(shí)目的，但攻擊追捕記者或找到泄露消息來(lái)源的做法，或?qū)π侣勛杂蓸?gòu)成威脅”。

以植入黎巴嫩新聞機(jī)構(gòu)網(wǎng)站的 Chrome 零日漏洞為例，其旨在從受害者的瀏覽器中收集大約 50 個(gè)數(shù)據(jù)點(diǎn)。

通過(guò)分析語(yǔ)言、時(shí)區(qū)、屏幕信息、設(shè)備類型、瀏覽器插件和設(shè)備內(nèi)存，來(lái)確保只有被特別針對(duì)的目標(biāo)會(huì)受到損害。

找到目標(biāo)后，間諜軟件會(huì)利用 Chrome 零日漏洞在受害者的機(jī)器上扎根，研究人員稱之為‘魔鬼舌’（DevilsTongue）。

易受攻擊的 ioctl 處理程序之一

與其它此類間諜軟件一樣，DevilsTongue 能夠竊取受害者手機(jī)上的內(nèi)容 —— 包括消息、照片和通話記錄，并實(shí)時(shí)跟蹤受害者的位置。

Avast 于 7 月 1 日向 Google 披露了該漏洞（編號(hào)為 CVE-2022-2294），并于幾天后（7 月 4 日）發(fā)布的 Chrome 103 中加以修復(fù)。

當(dāng)時(shí) Google 表示其已意識(shí)到在野外的漏洞利用，而自去年 7 月被微軟和 Citizen Lab 首次曝光以來(lái)，相關(guān)調(diào)查表明該間諜軟件制造商已至少針對(duì)百余名目標(biāo)發(fā)起了攻擊。

Avast 補(bǔ)充道：在去年 Citizen Lab 更新其惡意軟件以躲避安全檢測(cè)后，Candiru 似乎一直保持著低調(diào)，直到最近一輪攻擊才又冒頭。

（舉報(bào)）