安全|Avast曝光以色列间谍软件制造商Candiru滥用Chrome零日漏洞 Avast曝光以色列间谍软件制造商

网络安全公司 Avast ，刚刚将一个在 Google Chrome 浏览器中被积极利用（现已修复）的零日漏洞，与一家针对中东采访人员的以色列间谍软件制造商联系了起来。据悉，作为一家总部位于特拉维夫的黑客雇佣公司， Candiru（又称 Saito Tech）与此前被卷入丑闻的 NSO Group 非常相似，主要向政府客户提供强大的间谍软件。

文章图片

（来自：Avast）
尽管 Candiru 冠冕堂皇地宣称，其软件旨在供政府与执法机构用来阻止潜在的恐怖主义和犯罪。
但研究人员发现，有关部门在利用间谍软件针对采访人员、不同政见者和镇压制度批评者。
去年 11 月，美政府将四家从事违反美国国家安全活动的外国公司，列入了美国商务部的制裁名单。
【安全|Avast曝光以色列间谍软件制造商Candiru滥用Chrome零日漏洞】除了 NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和 Positive Technologies ， Candiru 也榜上有名。

文章图片

注入受感染网站（stylishblock[.]com）的恶意代码
Avast 表示，其在 3 月份观察到 Candiru 在利用 Chrome 零日漏洞，向土耳其、也门、巴勒斯坦的个人和黎巴嫩的采访人员发起了攻击，并且侵入了一家新闻机构员工使用的网站。
Avast 恶意软件研究员 Jan Vojtě?ek 表示：“虽然无法确定攻击者的真实目的，但攻击追捕采访人员或找到泄露消息来源的做法，或对新闻自由构成威胁” 。

以植入黎巴嫩新闻机构网站的 Chrome 零日漏洞为例，其旨在从受害者的浏览器中收集大约 50 个数据点。
通过分析语言、时区、屏幕信息、设备类型、浏览器插件和设备内存，来确保只有被特别针对的目标会受到损害。
找到目标后，间谍软件会利用 Chrome 零日漏洞在受害者的机器上扎根，研究人员称之为‘魔鬼舌’（DevilsTongue）。

文章图片

易受攻击的 ioctl 处理程序之一
与其它此类间谍软件一样， DevilsTongue 能够窃取受害者手机上的内容 —— 包括消息、照片和通话记录，并实时跟踪受害者的位置。
Avast 于 7 月 1 日向 Google 披露了该漏洞（编号为 CVE-2022-2294），并于几天后（7 月 4 日）发布的 Chrome 103 中加以修复。
当时 Google 表示其已意识到在野外的漏洞利用，而自去年 7 月被微软和 Citizen Lab 首次曝光以来，相关调查表明该间谍软件制造商已至少针对百余名目标发起了攻击。
Avast 补充道：在去年 Citizen Lab 更新其恶意软件以躲避安全检测后， Candiru 似乎一直保持着低调，直到最近一轮攻击才又冒头。