總部設(shè)在以色列的NSO集團(tuán)利用蘋果iMessage中一個未知的零點擊漏洞，將Pegasus或Candiru惡意軟件植入到了政治家、記者和社會活動家的iPhone手機(jī)上。

Citizen實驗室在周一的一份報告中公布了這一發(fā)現(xiàn)，稱有65人通過一個名為HOMAGE的iPhone漏洞感染了惡意軟件。報告稱，這個以色列公司NSO集團(tuán)和第二家公司Candiru是2017年至2020年期間發(fā)生的這些攻擊活動的幕后推手。

Candiru，又名Sourgum，它是一家商業(yè)公司，據(jù)稱它會向世界各地的政府出售DevilsTongue惡意監(jiān)控軟件。蘋果iMessage HOMAGE漏洞就是一個所謂的零點擊漏洞，這意味著不需要和受害者進(jìn)行任何互動，就可以在預(yù)定的目標(biāo)上偷偷地安裝惡意軟件。自2019年以來，蘋果的iOS軟件版本不再受到HOMAGE攻擊的影響。

加泰羅尼亞的政治家和活動家成為了攻擊目標(biāo)

Citizen實驗室報告的作者寫道，此次黑客攻擊涵蓋了加泰羅尼亞國家的各個社會領(lǐng)域，從學(xué)者、活動家到一些非政府組織(NGO)。加泰羅尼亞的政府和民選官員也是此次廣泛攻擊的目標(biāo)，其中就包括了約翰-斯科特-雷爾頓、埃利斯-坎波、比爾-馬爾扎克、巴赫-阿卜杜勒-拉扎克、西耶納-安斯蒂斯、戈茲德-伯庫、薩爾瓦托雷-索利馬諾和羅恩-迪伯特。

他們寫道，從加泰羅尼亞政府的最高層到歐洲議會的成員、立法者，以及他們的工作人員和家庭成員都成為了目標(biāo)。

關(guān)于誰發(fā)動了這些攻擊?研究人員說，最終也沒有發(fā)現(xiàn)該行動是由哪個組織發(fā)動的，但是有證據(jù)表明西班牙當(dāng)局可能正是此次行動的幕后推手。它指出西班牙國家情報中心(CNI)可能是主謀，并引用了該組織曾經(jīng)的監(jiān)視和間諜丑聞的歷史。

惡意軟件的具體分析

針對加泰羅尼亞進(jìn)行攻擊的攻擊者至少使用了兩個漏洞對受害者進(jìn)行了攻擊：零點擊漏洞和惡意短信。鑒于零點擊漏洞不需要受害者進(jìn)行任意交互，因此防御起來很有難度。

Citizen實驗室稱，攻擊者是利用了iOS的零點擊漏洞(HOMAGE)以及NSO集團(tuán)用來傳播其Pegasus惡意軟件的惡意短信漏洞來對用戶進(jìn)行攻擊的。

研究人員寫道："HOMAGE漏洞似乎是在2019年的最后幾個月才被犯罪分子使用的，它使用到了一個iMessage零點擊組件。在com.apple.mediastream.mstreamd進(jìn)程中啟動一個WebKit實例，在com.apple.private. alloy.photostream中可以查找到Pegasus電子郵件地址。"

據(jù)悉，HOMAGE在2019年和2020年也被使用過6次。Citizen實驗室表示，運(yùn)行移動操作系統(tǒng)版本大于13.1.3(2019年9月發(fā)布)的蘋果設(shè)備不會受到攻擊。

攻擊活動中使用到的其他惡意軟件和漏洞

研究人員說，KISMET零點擊漏洞最近也被用于網(wǎng)絡(luò)攻擊。2020年12月，Citizen實驗室表示，36名記者的手機(jī)被四個獨立的APTs感染了KISMET，此次攻擊可能與沙特阿拉伯或阿聯(lián)酋有關(guān)。

NSO集團(tuán)在對加泰羅尼亞的攻擊中所利用的WhatsApp緩沖區(qū)溢出漏洞(CVE-2019-3568)，此前Citizen實驗室就曾在2019年報告過，并在2019年5月發(fā)布了補(bǔ)丁。當(dāng)時，《金融時報》報道了一家據(jù)信是NSO集團(tuán)的私人公司發(fā)動了零日攻擊。

研究人員說，作為針對加泰羅尼亞攻擊的一部分，有四個人使用了Candiru間諜軟件公司的間諜軟件從而成為了受害者。這些攻擊會試圖利用兩個現(xiàn)已打過補(bǔ)丁的零日漏洞(CVE-2021-31979，CVE-2021-33771)來進(jìn)行權(quán)限提升。兩者都是由微軟發(fā)現(xiàn)并在2021年7月發(fā)布了補(bǔ)丁。

研究人員寫道，我們這里總共發(fā)現(xiàn)了七封含有Candiru間諜軟件的電子郵件，這些郵件都含有stat[.]email的鏈接。Candiru的間諜軟件也顯示，Candiru是為廣泛攻擊設(shè)備而設(shè)計的工具，該工具可以竊取設(shè)備的文件以及瀏覽器的相關(guān)內(nèi)容，但也會竊取保存在加密的Signal Messenger Desktop應(yīng)用程序中的信息。

2021年8月，Citizen實驗室報告說，最近NSO集團(tuán)的Pegasus間諜軟件使用了一個此前從未見過的零點擊iMessaging漏洞來非法監(jiān)視Bahraini的政治活動家。

Citizen實驗室認(rèn)為這些攻擊活動是 “大量且無節(jié)制濫用” 用戶隱私的例子，表明目前在向政府客戶和其他人出售間諜軟件方面嚴(yán)重缺乏監(jiān)管約束。

現(xiàn)在可以確定的是，NSO集團(tuán)、Candiru、其他同行業(yè)的公司以及它們的各種集團(tuán)，都還沒有完全建立起防止濫用間諜軟件的基本的保障措施。

本文翻譯自：https://threatpost.com/catalangate-spyware/179336/如若轉(zhuǎn)載，請注明原文地址。