網絡安全公司Avast，剛剛將一個在Google Chrome 瀏覽器中被積極利用（現已修復）的零日漏洞，與一家針對中東記者的以色列間諜軟件製造商聯繫了起來。據悉，作為一家總部位於特拉維夫的黑客僱傭公司，Candiru（又稱Saito Tech）與此前被捲入醜聞的NSO Group 非常相似，主要向政府客戶提供強大的間諜軟件。

（來自：Avast）

儘管Candiru 冠冕堂皇地宣稱，其軟件旨在供政府與執法機構用來阻止潛在的恐怖主義和犯罪。

但研究人員發現，有關部門在利用間諜軟件針對記者、不同政見者和鎮壓制度批評者。

去年11 月，美政府將四家從事違反美國國家安全活動的外國公司，列入了美國商務部的制裁名單。

除了NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和Positive Technologies，Candiru 也榜上有名。

注入受感染網站（stylishblock[.]com）的惡意代碼

Avast 表示，其在3 月份觀察到Candiru 在利用Chrome 零日漏洞，向土耳其、也門、巴勒斯坦的個人和黎巴嫩的記者發起了攻擊，並且侵入了一家新聞機構員工使用的網站。

Avast 惡意軟件研究員Jan Vojtěšek 表示：“雖然無法確定攻擊者的真實目的，但攻擊追捕記者或找到洩露消息來源的做法，或對新聞自由構成威脅”。

以植入黎巴嫩新聞機構網站的Chrome 零日漏洞為例，其旨在從受害者的瀏覽器中收集大約50 個數據點。

通過分析語言、時區、屏幕信息、設備類型、瀏覽器插件和設備內存，來確保只有被特別針對的目標會受到損害。

找到目標後，間諜軟件會利用Chrome 零日漏洞在受害者的機器上紮根，研究人員稱之為’魔鬼舌’（DevilsTongue）。

易受攻擊的ioctl 處理程序之一

與其它此類間諜軟件一樣，DevilsTongue 能夠竊取受害者手機上的內容—— 包括消息、照片和通話記錄，並實時跟踪受害者的位置。

Avast 於7 月1 日向Google 披露了該漏洞（編號為CVE-2022-2294），並於幾天后（7 月4 日）發布的Chrome 103 中加以修復。

當時Google 表示其已意識到在野外的漏洞利用，而自去年7 月被微軟和Citizen Lab 首次曝光以來，相關調查表明該間諜軟件製造商已至少針對百餘名目標發起了攻擊。

Avast 補充道：在去年Citizen Lab 更新其惡意軟件以躲避安全檢測後，Candiru 似乎一直保持著低調，直到最近一輪攻擊才又冒頭。