由一家以色列公司创建并据称被世界各国政府用来监视持不同政见者的一组独特的间谍软件已被微软发现。

加拿大多伦多大学Munk全球事务学院旗下跨学科实验室Citizen Lab与微软首先披露该恶意软件。据Citizen Lab称，自2014年到2020年之间，这家私营公司总计换了5个公司名称，从Candiru、DF Associates、Grindavik Solutions、Taveta到Saito Tech。据报道该公司专门向政府出售其产品。根据周四发布的一份咨询报告，这款新间谍软件DevilsTongue通过利用Windows中的一对0day漏洞(现已修补)，已被用于针对公民社会的高度针对性的网络攻击。

Citizen Lab和微软日前表示，至少有10个国家的上百名知名活动人士遭受到了这款DevilsTongue间谍软件攻击，其中包括政治家、人权活动家、记者、学者、大使馆工作人员和持不同政见者。被监控的对象遍及全球50多个国家，包括亚美尼亚、伊朗、以色列、黎巴嫩、巴勒斯坦、新加坡、西班牙、土耳其、英国和也门。

微软的串联咨询公司表示：“Sourgum通常销售网络武器，使其客户(通常是世界各地的政府机构)能够入侵目标的计算机、电话、网络基础设施和互联网连接设备，然后这些自己机构选择目标和实际运作对象。”

Citizen Lab的研究人员表示，DevilsTongue可以从各种帐户中窃取数据和消息，包括Facebook、Gmail、Skype和Telegram。间谍软件还可以捕获浏览历史记录、cookies和密码，打开目标的网络摄像头和麦克风，并截取屏幕照片。

该公司表示：“从Signal Private Messenger等其他应用程序中获取的数据是作为附件出售的。”

微软指出，被盗的cookie稍后可以被攻击者用来以受害者身份登录网站，以进行进一步的信息收集。

Citizen Lab研究人员表示，该代码可以感染和监控Android手机、云帐户、iPhone、Mac和PC，并指出DevilsTongue的命令和控制(C2)基础设施涉及750多个网站，包括“伪装成倡导组织的域名，例如国际特赦组织、Black Lives Matter运动以及媒体公司。”

数百万欧元

根据Citizen Lab获得的一份泄露的提案，Deviltongue作为一个工具包售价高达数百万欧元。它可以部署在多种攻击媒介中，包括通过恶意链接、电子邮件中的附加文件和中间人攻击。成本取决于用户想要维持的并发感染数量。

Citizen Lab表示：“1600万欧元的项目提案允许无限数量的间谍软件感染尝试，但只能同时监控10台设备”。“额外支付150万欧元，客户就可以购买同时监控15台额外设备并附加一个在另外一个国家感染设备的能力;额外支付550万欧元，客户可以同时监控另外25台设备，并在另外五个国家进行间谍活动。”

它补充说：“客户可以额外支付150万欧元的费用，购买远程shell功能，这使他们可以完全访问在目标计算机上运行的任何命令或程序。这种功能尤其令人担忧，因为它还可用于将文件，例如植入犯罪材料等等，下载到受感染的设备上。”

DevilsTongue的使用在少数几个国家受到限制，包括中国、伊朗、以色列、俄罗斯和美国。然而，其中显然也存在漏洞。

Citizen Lab的研究人员说：“微软在伊朗观察到了Candiru的受害者，这表明在某些情况下，Candiru的产品确实在受限制的地区运行。此外，本报告中披露的目标基础设施包括伪装成俄罗斯邮政服务的域名。”

0 day漏洞利用

该间谍软件利用了Windows中的两个特权提升安全漏洞CVE-2021-31979和CVE-2021-33771，这两个漏洞都在本周微软的7月补丁星期二更新中得到了解决。微软指出，这些攻击是通过“影响流行浏览器和我们的Windows操作系统的一系列漏洞利用”进行的。

微软表示，这两个漏洞都使攻击者能够逃脱浏览器沙箱并获得内核代码执行权：

• CVE-2021-31979：基于Windows NT的操作系统(NTOS)中的整数溢出。“这种溢出导致计算出的缓冲区大小不正确，然后将其用于在内核池中分配缓冲区。在将内存复制到小于预期的目标缓冲区时，随后会发生缓冲区溢出。可利用此漏洞破坏相邻内存分配中的对象。使用来自用户模式的API，内核池内存布局可以通过受控分配进行整理，从而将对象放置在相邻的内存位置。一旦被缓冲区溢出损坏，这个对象就可以变成用户模式到内核模式的读/写原语。有了这些原语，攻击者就可以提升他们的特权。”
• CVE-2021-33771：NTO中的一种竞争条件，导致内核对象被释放后再次被使用。微软解释说：“通过使用多个竞争线程，可以释放内核对象，并由可控对象回收释放的内存。”“与之前的漏洞一样，可以使用用户模式API向内核池内存喷洒分配。如果成功，可控对象可用于形成用户模式到内核模式的读/写原语并提升权限。”

微软表示除了修补之外，为了减轻攻击，它还“在我们的产品中内置了针对Sourgum创建的恶意软件保护措施”。

“这些攻击主要针对消费者账户，表明Sourgum的客户正在追求特定的个人，我们本周发布的保护措施将阻止Sourgum的工具在已被感染的计算机上运行，并防止在更新的计算机、运行Microsoft Defender Antivirus的计算机以及使用Microsoft Defender for Endpoint的计算机上发生新的感染。”

此次用于政府监控的网络攻击工具包的私人经纪公司在网络上被公开，主要归功于另一家以色列公司NSO Group，该公司创建了Pegasus间谍软件，使客户能够远程利用和监控移动设备。NSO Group长期以来坚持认为，其工具包旨在成为政府打击犯罪和恐怖活动的工具，并且不会和任何政府滥用它。然而，批评人士表示，专制政府将其用于更邪恶的目的，以追踪持不同政见者、记者和其他公民社会成员——而NSO集团则为他们提供帮助。去年12月，Pegasus在iPhone的Apple iMessage功能中添加了一个0day漏洞。

本文翻译自：https://threatpost.com/windows-zero-days-israeli-spyware-dissidents/167865/ 如若转载，请注明原文地址。