近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
今天,微软和加拿大多伦多大学公民实验室联合发布报告指出,以色列公司 Candiru 是 Windows 两个 0day及其它 0day exploit的幕后黑手。这些 exploit 被用于感染并在至少100名受害者设备上部署了全新的间谍软件,这些受害者包括政治家、人权活动家、记者、学术人员、大使馆员工和政治异见人士等。
要点概述
Candiru 是一家位于以色列的秘密公司,只做向各国政府出售间谍软件的业务。报道称它所提供的间谍软件可感染并监控 iPhone、安卓、Mac、个人电脑以及云账户。
通过互联网扫描,公民实验室找到和 Candiru 的间谍软件基础设施有关的750多个网站。很多域名伪装成倡议性组织机构如国际特赦组织、”黑人的命也是命“运动、媒体公司以及和其它公民社会主题相关的实体。
公民实验室找到了位于西欧的一个潜在的活跃受害者并恢复了 Candiru 的一款 Windows 间谍软件拷贝。
公民实验室和微软威胁情报中心 (MSTIC) 合作分析了该间谍软件,微软从中发现了 CVE-2021-31979和CVE-2021-33771两个遭 Candiru 公司滥用的提权漏洞,并在2021年7月13日修复。
在调查过程中,微软发现了位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加波的至少100名受害者,他们是人权捍卫者、持异见者、记者、活动家和政治家。
公民实验室从技术角度简要分析了该间谍软件的可持久机制以及关于该间谍软件功能的某些详情。
虽然 Candiru 公司颇费功夫地隐藏其所有权结构、员工情况和投资合作伙伴,但公民实验室也了解到一些相关情况。
Candiru 是谁?
这家名为“Candiru” 的公司位于以色列特拉维夫,是一家雇佣型间谍软件公司,宣称向政府客户提供”无法追踪到的“间谍软件,产品包括监控计算机、移动设备和云账户的解决方案。
虽然该公司的黑客雇佣产品已存在多年的时间,但外界对于该公司本身及其能力所知甚少。
组织架构
虽然Candiru 公司不遗余力地隐藏其运营、基础架构和员工身份信息。但公民实验室发现该公司成立于2014年,公司名称几经变化。和其它雇佣型间谍软件企业一样,据称该公司从以色列国防部信号情报单位 Unit 8200 招兵买马。
虽然该公司目前的名称是 Saito 技术有限公司,但其更为知名的名称是 “Candiru”。该公司的标识似乎是字母“C”形状的据说非常可怕的牙签鱼(“Candiru fish”)。
Candiru 公司至少有一家分支机构:Sokoto 有限公司。
报告指出,NSO Group 公司的一名早期投资者 Isaac Zack 在Candiru公司成立不到两个月的时间里成为该公司的最大股东。
销售和投资情况
从一名离职员工提起的诉讼案件来看,Candiru 公司在成立两内内的销售额“近3000万美元“,该公司的客户据称位于”欧洲、前苏联、波斯湾、亚洲和拉丁美洲“。以下国家可能和该公司有过交易:
乌兹别克斯坦:在2019年的“病毒公告板“安全大会上,卡巴斯基实验室的一名研究员指出,Candiru 可能将其间谍软件出售给乌兹别克斯坦的国家安全局。
沙特阿拉伯和阿联酋:这名研究员还提到沙特阿拉伯和阿联酋可能也是 Candiru 公司的客户。
新加坡:2019年的情报在线报告称,Candiru 公司积极向新加坡情报部门招揽业务。
卡塔尔:2020年的情报在线报道称,Candiru 公司“和卡塔尔的关系越来越近“。和卡塔尔国家财富资金有关联的某公司对 Candiru 公司进行了投资。但目前尚未发现卡塔尔客户的相关信息。
和 DevilsEye 恶意软件以及多个 0day 有关
这款恶意工具为 DevilsEye,是具有间谍软件能力的一款 Windows 恶意软件,一旦部署到目标的 Windows 系统中,Candiru 公司的客户即可完全访问受感染设备。
公民实验室的安全研究员在开展关于“在西欧活跃的政治受害者“设备的取证调查过程中发现了这款间谍软件。与微软分享这项研究成果后,微软通过海量的遥测数据库发现至少有100名受害者受 DevilsEye 的感染,这些受害者位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加波等国。
微软指出,该间谍软件一般是通过诱骗托管着利用包的网站受害者部署的,该利用包滥用浏览器漏洞将该恶意软件植入到受害者设备上,随后滥用第二阶段的 Windows exploit 为运营人员获得管理员级别的访问权限。
该攻击链非常高阶,使用的是此前未出现过的漏洞,即网络安全社区所说的 0day。这些 0day 包括两个 Chrome 0day(CVE-2021-21166 和 CVE-2021-30551)、一个 IE 浏览器 0day(CVE-2021-33742)和Windows OS 中的两个0day(CVE-2021-31979 和 CVE-2021-33771)。这些漏洞现已修复。
前三个 0day 也出现在谷歌在本周三发布的报告中。该报告将 Chrome 和 IE exploit 和某未具名商业监控公司联系在一起。谷歌表示这些 0day 至少出售给了两个受国家支持的威胁行动者,后者滥用这些 0day 攻击位于亚美尼亚的目标。在今天的更新报告中,谷歌也将这些 0day 归罪于 Candiru 公司。
数百个 Candiru 域名仍然活跃
然而,公民实验室指出,Candiru 的黑客雇佣能力远远超过谷歌和微软报告中提到的这些能力。
公民实验室的分析师指出发现750多个域名托管着 Candiru 监控软件,包括位于阿联酋和沙特阿拉伯的大型集群,这说明这两个国家是Candiru 公司的更大的客户群体之一。
某些域名伪装成倡议性组织机构如国际特赦组织、“黑人的命也是命“、媒体公司以及其它和公民社会组织相关的实体,这表明这些攻击的目标多数是活动家而非撕下面具的网络犯罪组织。
微软此前曾表示,网络武器交易商的工具用于人权滥用时,他们的行为不应当被赦免。Candiru 公司目前无法联系到,之前的多个域名在今天返回错误消息。
完整报告可见:
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
推荐阅读
谷歌公布4个0day详情,其中3个被滥用于攻击亚美尼亚
微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
Signal 创始人手撕以色列取证公司 Cellebrite 软件源代码:尝尝被黑的滋味
从军队到企业:揭秘以色列盛产网络安全企业的模式
原文链接
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
https://therecord.media/windows-spyware-and-zero-days-linked-to-prodigious-israeli-hack-for-hire-company/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼相关推荐
- 老哥,帮我看下这个 0day exploit:安全研究员遭疑似国家黑客社工,有人不幸中招...
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌威胁分析团队 (TAG) 花费几个月的时间发现了一起专门针对安全研究员的攻击活动.这些研究员在不同企业和组织机构从事漏洞研究和开发 ...
- 风投大亨蒂尔对神秘大数据公司Palantir估值折价40%
硅谷创投大亨彼得·蒂尔,也是畅销书<从0到1>作者 北京时间7月22日上午消息,据美国新闻网站Buzzfeed报道,机密文件显示,硅谷风投大亨彼得·蒂尔(Peter Thiel)的风险投资 ...
- Windows 发布本地提权0day,可以系统权限执行任意代码
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软 Windows 10 和即将到来的 Windows 11 版本易受新的本地提权漏洞攻击,可导致低权限用户访问 Windows 系统文 ...
- 谷歌悄悄修复4个 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今天,谷歌更新了2021年5月的安卓安全公告称,本月修复的其中4个漏洞"可能已遭有限的针对性利用". 除了发布这四个漏 ...
- 以色列政府网站遭史上规模最大的DDoS 攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周一,以色列多个政府网站遭分布式拒绝服务 (DDoS) 攻击,导致这些门户网站在短时间内无法访问. 以色列国家网络局 (INCD) 在推特上表示 ...
- 以色列网络武器出口对象国从102个锐减至37个
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 以色列政府出新规,要求本地安全厂商仅向37个国家出口监控和进攻性黑客工具,几乎削减了三分之二,此前允许的出口对象国为102个. 以色列商业报 C ...
- Moses Staff攻陷以色列网络并加密数据,拒绝谈判
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 新出现的黑客组织 Moses Staff 攻陷了以色列的组织机构并加密其数据,但拒绝就勒索金进行谈判,而此举被安全研究员视为受政治利益驱动的破坏 ...
- 德国政府证实警方使用了 Pegasus 间谍软件
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,德国政府证实称其联邦警察服务使用了备受争议的以色列间谍软件 Pegasus,立即招来右翼团体的批评. 政府官员从闭门议会委员会获悉,德国 ...
- “神秘的”0day漏洞
我们在一些涉及到安全.黑客的文章里经常会看到"0day漏洞"这个词.今天就来介绍一下什么是0day漏洞. 概念 首先要说明的是,"0day"并不是某一种技术的名 ...
最新文章
- 就mysql command line client刚输入密码立马闪一下退出问题的解决方案
- java分解因式_用JAVA因式分解 并以9=3×3格式输出
- Centos7 防火墙开放端口,查看状态,查看开放端口
- 华农计算机科学宿舍在哪个区,新生指南Ⅵ | 住在华农·看看我们第二个家
- 修复删除/var/lib/dpkg目录后,无法使用apt-get命令问题
- gvim安装及其配置
- binlog2sql使用总结
- 高级文本编辑器——Kate
- 腾讯云服务器linux系统有图形界面,腾讯云服务器如何搭建Ubuntu可视化界面?
- 斗地主牌型基本算法升级版本
- 电子档案管理系统java,电子档案管理系统单点登陆示例
- 【html】css样式
- Spring之IOC概念、Bean对象创建及DI注入的三种方式
- 职场打拼小妙招,建议你们收藏使用!
- QuartusII-引脚分配与下载
- 推荐一个界面库:RingSDK
- SpringBoot-自动配置
- 一分钟让你了解什么是CYN
- KEPServerEX助力能源巨擎实现工业4.0
- 【观察】DXC Technology:回归初心,再聚焦与新布局
热门文章
- python nodemcu_NodeMCU-32S MicroPython固件的使用
- Outlook Express邮件丢失问题解决方法之一
- 数理统计学(Mathematic Statistics)的基本概念
- 前端搭建私有化npm库
- 2g限制 outlook_OutLook超出2G大小限制的 PST 和 OST 的解决方法-邮件备份法
- 安卓开发记账本app
- Linux防火墙开放端口
- dpdk基础教程——流水线模型 ip_pipeline
- SAP License:如何做好ERP系统的安全防护
- 软件测试|最全的Python for循环和while循环使用介绍