HackerNews 编译,转载请注明出处:
研究人员发现,间谍软件制造商Candiru据信利用新基础设施,通过Windows恶意软件攻击计算机。
Recorded Future公司Insikt研究小组周一发布的研究报告揭示了与该间谍软件(“DevilsTongue”)相关的八个不同的操作集群。报告称,其中五个集群高度活跃,包括与匈牙利和沙特阿拉伯相关的集群。
报告指出,“此基础设施既包括可能用于部署和控制Candiru‘DevilsTongue’间谍软件的面向受害者组件,也包括间谍软件操作者使用的高层基础设施。”研究人员表示,“虽然有些集群直接管理其面向受害者的基础设施,但其他集群通过中间基础设施层或Tor网络(允许使用暗网)进行管理。”
除与匈牙利和沙特阿拉伯相关的活跃集群外,研究人员还发现另一个与印度尼西亚相关的集群,其活跃状态似乎持续至2024年11月。报告称,研究人员无法确定与阿塞拜疆相关的另外两个集群是否仍处于活跃状态。
“DevilsTongue”是微软为该Windows间谍软件命名的。研究报告作者、Recorded Future高级威胁研究员朱利安-费迪南德·沃格勒(Julian-Ferdinand Vögele)表示,关于其全部部署方法的公开报道有限。不过,沃格勒称,泄露的材料显示它“理论上”可以通过恶意链接、武器化文件、中间人攻击以及对Windows设备的物理访问进行传播。
沃格勒表示,“DevilsTongue”既通过攻击者控制的URL(例如在鱼叉式网络钓鱼邮件中发现的链接)部署,也通过名为“水坑攻击”的战略性网站入侵(通常利用网络浏览器中的漏洞)进行部署。
Insikt研究小组还在Candiru的公司网络内发现了一个新实体,该实体似乎是在Candiru资产被美国投资公司“诚信伙伴基金”(Integrity Partners)收购时成立的。报告将该新实体确定为“一家名为Integrity Labs Ltd的以色列私营公司”。研究人员认为,时间点表明这家独立公司可能参与了收购过程。
科技新闻媒体CTech于今年4月报道称,诚信伙伴基金以3000万美元收购了Candiru的资产。CTech报道称,诚信伙伴基金随后将Candiru的资产和员工转移至一个新实体,从而规避了美国政府的制裁。
诚信伙伴基金在其网站上未列出媒体联系人信息或任何电子邮件地址。该公司的一位合伙人未立即回复通过LinkedIn发送的消息。
美国商务部于2021年将Candiru列入其实体清单。被列入该清单意味着该公司被认为构成国家安全风险,并对其出口和其他交易施加重大限制。
根据公民实验室(Citizen Lab)2022年的一份报告揭示西班牙政府实施的大规模监控行动,西班牙加泰罗尼亚独立运动成员曾成为Candiru间谍软件的目标。
消息来源:therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
