安全研究人员将 Google Chrome 中一个被积极利用但已修复的零日漏洞的发现与一家针对中东记者的以色列间谍软件制造商联系起来。
网络安全公司 Avast 将此次利用与 Candiru 联系起来,Candiru 是一家总部位于特拉维夫的雇佣黑客公司,也被称为 Saito Tech,该公司向政府客户提供强大的间谍软件。 Candiru 与以色列的NSO 集团很像,声称其软件旨在供政府和执法机构用来阻止潜在的恐怖主义和犯罪,但研究人员发现,专制政权已使用该间谍软件瞄准记者、持不同政见者和批评者。镇压政权。坎迪鲁因从事违反美国国家安全的活动而受到美国商务部的制裁。”
Avast 表示,它在 3 月份观察到 Candiru 使用 Chrome 零日漏洞攻击针对土耳其、也门和巴勒斯坦的个人以及黎巴嫩的记者,其中 Candiru 入侵了一家新闻机构员工使用的网站。
“我们无法确定攻击者可能在寻找什么,但攻击者追捕记者的原因通常是监视他们和他们正在直接处理的故事,或者找到他们的消息来源并收集泄露的信息Avast 的恶意软件研究员 Jan Vojtěšek 说。 “这样的攻击可能会对新闻自由构成威胁,”沃伊采克说。
植入黎巴嫩通讯社网站的 Chrome 零日漏洞利用旨在从受害者的浏览器收集大约 50 个数据点,包括其语言、时区、屏幕信息、设备类型、浏览器插件和设备内存,可能确保只有那些专门针对的人的设备最终受到了损害。找到目标后,Chrome零日漏洞会在受害者的机器上创建一个立足点,以传递间谍软件有效载荷,研究人员将其称为 DevilsTongue。
与其他政府级间谍软件一样,DevilsTongue 可以窃取受害者手机的内容,包括消息、照片、通话记录,并实时跟踪受害者的位置。
Avast 于 7 月 1 日向 Google 披露了该漏洞,编号为 CVE-2022-2294,并在几天后的 7 月 4 日发布了 Chrome 103。 2022-2294 存在于野外。”
Candiru 于去年 7 月被微软和 Citizen Lab 首次曝光。他们的调查结果表明,这家间谍软件制造商针对 10 个国家的至少 100 名活动人士、记者和持不同政见者。根据 Avast 的说法,Candiru 很可能在去年发布 Citizen Lab 的报告以更新其恶意软件并逃避检测工作之后的最新一轮攻击之前保持低调。
原文: https://techcrunch.com/2022/07/21/candiru-exploited-chrome-zero-day-journalists-spyware/