【安全资讯】微软披露以色列Candiru公司利用0-day漏洞和DevilsTongue恶意软件的相关攻击细节

猎影实验室 2021-07-16 07:56:28 3272人浏览

7月15日,微软发布报告表示,研究人员发现了一个名为 Candiru  的以色列公司,该公司是两个Windows 0-day漏洞(CVE-2021-31979和CVE-2021-33771)的开发者。 这些漏洞已被用来感染和部署一种名为DevilsTongue的新型间谍软件,目前微软已经观察到至少 100 名受害者,包括政客、人权活动家、记者、学者、大使馆工作人员和持不同政见的人。 Candiru  公司成立于2014年,是一家以色列公司,微软将其称为 SOURGUM公司 。该公司向政府客户销售“无法追踪”的间谍软件,产品包括用于监视计算机、移动设备和云帐户的解决方案。


DevilsTongue是一种具有间谍软件功能的恶意软件,一旦部署在目标的 Windows 系统上,Candiru的客户就可以完全访问受感染的设备。多伦多大学公民实验室的研究人员在对“西欧政治活跃受害者”的设备进行调查时首次发现该软件。攻击者通常通过引诱受害者进入托管漏洞利用工具包的网站,利用工具包滥用浏览器漏洞将恶意软件植入受害者的设备,随后滥用第二阶段的Windows漏洞,为其运营商获得管理员级别的访问权限。攻击链非常先进,使用了前所未有的漏洞,在网络安全领域被称为零日攻击。其中包括两个Chrome零日漏洞(CVE-2021-21166和CVE-2021-30551),一个ie漏洞(CVE-2021-33742),以及两个Windows漏洞(CVE-2021-31979和CVE-2021-33771)。


目前微软已经在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡观察到至少100名感染了DevilsTongue的受害者。目前,所有漏洞均已修补。然而,Citizen Lab的研究人员表示Candiru的黑客雇佣能力非常强,他们发现了 750 多个托管Candiru间谍软件的域,其中包括阿联酋和沙特阿拉伯的大型集群,这表明这两个国家是该公司的大客户。

失陷指标(IOC)18
Candiru DevilsTongue 漏洞利用 0-day CVE-2021-31979 CVE-2021-33771 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。