lswcap
微软宣布已准备好针对 DevilsTongue 的对策,这是一种攻击由 Sourgum 组织开发和销售的 Windows 10 零日漏洞的恶意软件。包括政治家和人权活动家在内的 100 多人成为恶魔之舌的受害者。
据微软称,此次攻击是一个 Windows 零日漏洞(CVE-2021-31979、CVE-2021-33771),它允许攻击者通过针对名为 Devilstongue 的恶意软件远程获取权限并执行内核代码。将。
Devilston 是一种用 C 和 C++ 编写的复杂、模块化、多线程恶意软件,它收集文件并执行命令、Chrome 或 Firefox 等浏览器中的凭据、加密凭据并阻止 Signal(一种消息传递应用程序)中的对话。它还会创建一个恶意链接并将其传输到受害者的 PC 上进行繁殖。此外,据微软称,在更新到最新版本的 Windows 10 后,Microsoft Defender for Endpoint 通过利用被利用的漏洞签名驱动程序阻止来阻止使用 Devilstonk 的驱动程序。
根据微软的调查,包括巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡在内的至少 100 人受到魔牙的影响。据说受害者是人权活动家、持不同政见者、记者、大使馆雇员和政治家。微软指出,开发和分发Devilstonk的组织是PSOA,一个代号为Sorgum的平民攻击者。
与微软合作分析德维斯顿的公民实验室断言,一家名为 Candiru 的公司,总部位于以色列特拉维夫,是 Sorgum 的身份。自2014年成立以来,Kandiru已经四五次更名并持续活跃,据悉它由以色列国防军情报单位8200部队的前成员组成。以色列也有很多类似的网络安全公司,众所周知,有一个巨大的网络安全市场,开发和销售间谍工具和恶意软件。
Candiru 被认为是 PSOA,因为它向政府机构销售产品,Citizen Lab 表示政府机构正在使用 Devilstongue 进行黑客攻击,在以色列网络安全市场建立商业间谍软件市场是一种网络犯罪。由于它正在成为温床,他们呼吁严格监管。相关信息可以在这里找到。
Add comment