【安全资讯】Cytrox公司使用Predator间谍软件攻击两名埃及用户

引言

12月16日，公民实验室发布了一份新报告，披露了Cytrox公司的“Predator”间谍软件。2021 年 6 月，Predator间谍软件攻击了一位埃及流亡的政治家和一位埃及新闻节目的主持人，间谍软件能够通过 WhatsApp 发送的链接感染当时最新版本的 Apple iOS 操作系统 。

简况

Cytrox 最初是一家北马其顿初创公司，成立于 2017 年。据悉，Cytrox公司是Intellexa联盟的一部分。Intellexa是所谓的“间谍软件星空联盟”，该联盟的成立是为了与 NSO 集团竞争，并将自己描述为“基于欧盟并受欧盟监管，在欧洲拥有六个站点和研发实验室。 ”

Cytrox 的 Predator 间谍软件的第一个目标是一位流亡在土耳其的埃及政治家Ayman Nour，研究人员在检查了Ayman Nour的设备后发现，他的设备已感染了两个独立的雇佣间谍软件工具： NSO Group 制造的 Pegasus 间谍软件和 Cytrox 开发的 Predator。自 2021 年 3 月 3 日以来，Nour 的手机多次受到 NSO Group 的 Pegasus 间谍软件的入侵。在 2021 年 6 月 30 日，研究人员识别到了另外的入侵。经过分析，研究人员将此次入侵归因于Cytrox 的 Predator 间谍软件。

Predator的入侵开始于WhatsApp上发送的链接。6 月 22 日，一个埃及号码（+201201407978）向 Nour 的设备发送了四个指向 almasryelyuom[.]com 和 qwxzyl[.]com 的不同链接。链接在 Safari 中打开后，Predator 被安装在设备上。以下是攻击者发送的链接附带的图像示例，图片显示：“土耳其要求埃及反对派频道停止批评埃及，开罗对此举发表评论”：

第二个目标是一位主持流行新闻节目的埃及流亡记者，这位记者希望保持匿名。他在 WhatsApp 上收到一条来自未知号码 (+201201407595) 的消息，发送链接的人声称是Al Masry Al Youm报社的助理编辑，消息中同样包含指向almasryelyuom[.]com 网站的链接，消息如下：

Cytrox的客户包括埃及、亚美尼亚、希腊、沙特阿拉伯、阿曼、哥伦比亚、科特迪瓦、越南、菲律宾和德国的实体。研究人员将此次针对这两个目标的攻击以高置信度归因于埃及政府。

总结

公民实验室已将此活动通知给Meta公司（原Facebook）的安全团队。Meta 已对 Cytrox 采取执法行动，删除大约 300 个与 Cytrox 相关联的 Facebook 和 Instagram 帐户。