【安全资讯】微软披露以色列Candiru公司利用0-day漏洞和DevilsTongue恶意软件的相关攻击细节

7月15日，微软发布报告表示，研究人员发现了一个名为 Candiru  的以色列公司，该公司是两个Windows 0-day漏洞（CVE-2021-31979和CVE-2021-33771）的开发者。 这些漏洞已被用来感染和部署一种名为DevilsTongue的新型间谍软件，目前微软已经观察到至少 100 名受害者，包括政客、人权活动家、记者、学者、大使馆工作人员和持不同政见的人。 Candiru  公司成立于2014年，是一家以色列公司，微软将其称为 SOURGUM公司 。该公司向政府客户销售“无法追踪”的间谍软件，产品包括用于监视计算机、移动设备和云帐户的解决方案。

DevilsTongue是一种具有间谍软件功能的恶意软件，一旦部署在目标的 Windows 系统上，Candiru的客户就可以完全访问受感染的设备。多伦多大学公民实验室的研究人员在对“西欧政治活跃受害者”的设备进行调查时首次发现该软件。攻击者通常通过引诱受害者进入托管漏洞利用工具包的网站，利用工具包滥用浏览器漏洞将恶意软件植入受害者的设备，随后滥用第二阶段的Windows漏洞，为其运营商获得管理员级别的访问权限。攻击链非常先进，使用了前所未有的漏洞，在网络安全领域被称为零日攻击。其中包括两个Chrome零日漏洞(CVE-2021-21166和CVE-2021-30551)，一个ie漏洞(CVE-2021-33742)，以及两个Windows漏洞(CVE-2021-31979和CVE-2021-33771)。

目前微软已经在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡观察到至少100名感染了DevilsTongue的受害者。目前，所有漏洞均已修补。然而，Citizen Lab的研究人员表示Candiru的黑客雇佣能力非常强，他们发现了 750 多个托管Candiru间谍软件的域，其中包括阿联酋和沙特阿拉伯的大型集群，这表明这两个国家是该公司的大客户。