近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼

本文主要是介绍近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

今天,微软和加拿大多伦多大学公民实验室联合发布报告指出,以色列公司 Candiru 是 Windows 两个 0day及其它 0day exploit的幕后黑手。这些 exploit 被用于感染并在至少100名受害者设备上部署了全新的间谍软件,这些受害者包括政治家、人权活动家、记者、学术人员、大使馆员工和政治异见人士等。

要点概述

  • Candiru 是一家位于以色列的秘密公司,只做向各国政府出售间谍软件的业务。报道称它所提供的间谍软件可感染并监控 iPhone、安卓、Mac、个人电脑以及云账户。

  • 通过互联网扫描,公民实验室找到和 Candiru 的间谍软件基础设施有关的750多个网站。很多域名伪装成倡议性组织机构如国际特赦组织、”黑人的命也是命“运动、媒体公司以及和其它公民社会主题相关的实体。

  • 公民实验室找到了位于西欧的一个潜在的活跃受害者并恢复了 Candiru 的一款 Windows 间谍软件拷贝。

  • 公民实验室和微软威胁情报中心 (MSTIC) 合作分析了该间谍软件,微软从中发现了 CVE-2021-31979和CVE-2021-33771两个遭 Candiru 公司滥用的提权漏洞,并在2021年7月13日修复。

  • 在调查过程中,微软发现了位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加波的至少100名受害者,他们是人权捍卫者、持异见者、记者、活动家和政治家。

  • 公民实验室从技术角度简要分析了该间谍软件的可持久机制以及关于该间谍软件功能的某些详情。

  • 虽然 Candiru 公司颇费功夫地隐藏其所有权结构、员工情况和投资合作伙伴,但公民实验室也了解到一些相关情况。

Candiru 是谁?

这家名为“Candiru” 的公司位于以色列特拉维夫,是一家雇佣型间谍软件公司,宣称向政府客户提供”无法追踪到的“间谍软件,产品包括监控计算机、移动设备和云账户的解决方案。

虽然该公司的黑客雇佣产品已存在多年的时间,但外界对于该公司本身及其能力所知甚少。

组织架构

虽然Candiru 公司不遗余力地隐藏其运营、基础架构和员工身份信息。但公民实验室发现该公司成立于2014年,公司名称几经变化。和其它雇佣型间谍软件企业一样,据称该公司从以色列国防部信号情报单位 Unit 8200 招兵买马。

虽然该公司目前的名称是 Saito 技术有限公司,但其更为知名的名称是 “Candiru”。该公司的标识似乎是字母“C”形状的据说非常可怕的牙签鱼(“Candiru fish”)。

Candiru 公司至少有一家分支机构:Sokoto 有限公司。

报告指出,NSO Group 公司的一名早期投资者 Isaac Zack 在Candiru公司成立不到两个月的时间里成为该公司的最大股东。

销售和投资情况

从一名离职员工提起的诉讼案件来看,Candiru 公司在成立两内内的销售额“近3000万美元“,该公司的客户据称位于”欧洲、前苏联、波斯湾、亚洲和拉丁美洲“。以下国家可能和该公司有过交易:

  • 乌兹别克斯坦:在2019年的“病毒公告板“安全大会上,卡巴斯基实验室的一名研究员指出,Candiru 可能将其间谍软件出售给乌兹别克斯坦的国家安全局。

  • 沙特阿拉伯和阿联酋:这名研究员还提到沙特阿拉伯和阿联酋可能也是 Candiru 公司的客户。

  • 新加坡:2019年的情报在线报告称,Candiru 公司积极向新加坡情报部门招揽业务。

  • 卡塔尔:2020年的情报在线报道称,Candiru 公司“和卡塔尔的关系越来越近“。和卡塔尔国家财富资金有关联的某公司对 Candiru 公司进行了投资。但目前尚未发现卡塔尔客户的相关信息。

和 DevilsEye 恶意软件以及多个 0day 有关

这款恶意工具为 DevilsEye,是具有间谍软件能力的一款 Windows 恶意软件,一旦部署到目标的 Windows 系统中,Candiru 公司的客户即可完全访问受感染设备。

公民实验室的安全研究员在开展关于“在西欧活跃的政治受害者“设备的取证调查过程中发现了这款间谍软件。与微软分享这项研究成果后,微软通过海量的遥测数据库发现至少有100名受害者受 DevilsEye 的感染,这些受害者位于巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加波等国。

微软指出,该间谍软件一般是通过诱骗托管着利用包的网站受害者部署的,该利用包滥用浏览器漏洞将该恶意软件植入到受害者设备上,随后滥用第二阶段的 Windows exploit 为运营人员获得管理员级别的访问权限。

该攻击链非常高阶,使用的是此前未出现过的漏洞,即网络安全社区所说的 0day。这些 0day 包括两个 Chrome 0day(CVE-2021-21166 和 CVE-2021-30551)、一个 IE 浏览器 0day(CVE-2021-33742)和Windows OS 中的两个0day(CVE-2021-31979 和 CVE-2021-33771)。这些漏洞现已修复。

前三个 0day 也出现在谷歌在本周三发布的报告中。该报告将 Chrome 和 IE exploit 和某未具名商业监控公司联系在一起。谷歌表示这些 0day 至少出售给了两个受国家支持的威胁行动者,后者滥用这些 0day 攻击位于亚美尼亚的目标。在今天的更新报告中,谷歌也将这些 0day 归罪于 Candiru 公司。

数百个 Candiru 域名仍然活跃

然而,公民实验室指出,Candiru 的黑客雇佣能力远远超过谷歌和微软报告中提到的这些能力。

公民实验室的分析师指出发现750多个域名托管着 Candiru 监控软件,包括位于阿联酋和沙特阿拉伯的大型集群,这说明这两个国家是Candiru 公司的更大的客户群体之一。

某些域名伪装成倡议性组织机构如国际特赦组织、“黑人的命也是命“、媒体公司以及其它和公民社会组织相关的实体,这表明这些攻击的目标多数是活动家而非撕下面具的网络犯罪组织。

微软此前曾表示,网络武器交易商的工具用于人权滥用时,他们的行为不应当被赦免。Candiru 公司目前无法联系到,之前的多个域名在今天返回错误消息。

完整报告可见:

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

推荐阅读

谷歌公布4个0day详情,其中3个被滥用于攻击亚美尼亚

微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞

Signal 创始人手撕以色列取证公司 Cellebrite 软件源代码:尝尝被黑的滋味

从军队到企业:揭秘以色列盛产网络安全企业的模式

原文链接

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

https://therecord.media/windows-spyware-and-zero-days-linked-to-prodigious-israeli-hack-for-hire-company/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597136

相关文章

【数据结构】——原来排序算法搞懂这些就行,轻松拿捏

前言:快速排序的实现最重要的是找基准值,下面让我们来了解如何实现找基准值 基准值的注释:在快排的过程中,每一次我们要取一个元素作为枢纽值,以这个数字来将序列划分为两部分。 在此我们采用三数取中法,也就是取左端、中间、右端三个数,然后进行排序,将中间数作为枢纽值。 快速排序实现主框架: //快速排序 void QuickSort(int* arr, int left, int rig

创业者该如何设计公司的股权架构

本文来自七八点联合IT橘子和车库咖啡的一系列关于设计公司股权结构的讲座。 主讲人何德文: 在公司发展的不同阶段,创业者都会面临公司股权架构设计问题: 1.合伙人合伙创业第一天,就会面临股权架构设计问题(合伙人股权设计); 2.公司早期要引入天使资金,会面临股权架构设计问题(天使融资); 3.公司有三五十号人,要激励中层管理与重要技术人员和公司长期走下去,会面临股权架构设计问题(员工股权激

某公司笔试编程题

参加了某公司编程题,这些题都来自牛客网,记录总结吧! 一、蛇形矩阵 题目描述 蛇形矩阵是有1开始的自然数依次排列成的一个上三角矩阵. 接口说明 void GetResult(int Num, int* pResult);输入参数:int Num :输入的正整数N输出参数:int *pResult: 指向放蛇形矩阵的字符串指针指针指向的内存区域保证有效 样例输入: 4

Oracle中实现在原来自段值得基础上追加字符串

update person t set t.name = t.name || 'and 李思思' where t.id = '2';

探索Python的数学魔法:Numpy库的神秘力量

文章目录 探索Python的数学魔法:Numpy库的神秘力量背景:为什么选择Numpy?Numpy是什么?如何安装Numpy?五个简单的库函数使用方法场景应用常见Bug及解决方案总结 探索Python的数学魔法:Numpy库的神秘力量 背景:为什么选择Numpy? 在Python的世界中,数据处理和科学计算是不可或缺的一部分。但原生Python在处理大规模数据时可能会显

八大排序原来也不过如此

详解八大排序 前言1.插入排序1.1 直接插入排序1.2 希尔排序 2.选择排序2.1 选择排序2.2 堆排序 3. 交换排序3.1 冒泡排序3.2 快排3.2.1 hoare版本3.2.2 挖坑版本3.2.3 双指针版本3.2.4 快排优化3.3.5 快排时间复杂度和空间复杂度分析3.2.5 非递归实现快排 4. 归并排序4.1 递归实现4.2 非递归实现 5. 计数排序6. 总结

我的第一次份实习工作-iOS实习生-公司使用过的软件

bittorrentsync 素材,文件同步软件 cornerstone svn 软件开发合作 mark man 测量坐标的软件 SQLLite Manager 数据库操作软件

妈耶!被夸爆的毕业设计选题原来在这里《社区老人智慧服务系统的设计与实现。》

🎓亲爱的同学们,你是否正在为计算机毕业设计选题而犯愁?今天,我要给大家推荐一个既实用又有趣的选题!这个项目不仅能让你在毕业设计中脱颖而出,还能让你对旅游行业有更深入的了解。 🚩毕设中如何选题?🍑  对于项目设计中如何选题、让题目的难度在可控范围,以及如何在选题过程以及整个毕设过程中如何与老师沟通,有疑问不清晰的可以联系我,免费提供咨询答疑;【💯提供2000个题库参考💯】 🚭毕设项

每个游戏公司的领导都应该看看Supercell的“十年总结”

我知道,你一定会说,Supercell的案例太特殊了。手游出现以来,全世界就只有这么一个Supercell,它的经历、理念和公司架构这些文化,其他公司学不来,不管对中国公司还是海外公司,都没有什么实际借鉴意义。 但Supercell真的有这么“特殊”吗? 比如他们对于留存数据的看重,尤其是测试期留存的看重,和国内——和任何一家常规游戏公司看重留存的态度,都没有什么明显不同。 他们也会试着设立

【DL--01】深度学习 揭开DL的神秘面纱

什么是深度学习 深度学习=深度神经网络+机器学习 人工智能 > 机器学习 > 表示学习 > 深度学习 神经元模型 输入信号、加权求和、加偏置、激活函数、输出 全连接层 输入信号、输入层、隐层(多个神经元)、输出层(多个输出,每个对应一个分类)、目标函数(交叉熵) 待求的参数:连接矩阵W、偏置b 训练方法:随机梯度下降,BP算法(后向传播) Python中深度学习实现:Ke