标签:受害者 微软 Windows 恶意软件 2021 DevilsTongue CVE 0day
| 导读 | 以色列情报公司Candiru利用微软7月补丁日中修复的2个0day漏洞,部署名为 DevilsTongue 的新恶意软件。 |
0x00 事件概述
近日,微软和Citizen Lab发现Candiru(微软称为 Sourgum)利用微软7月补丁日中修复的2个0 day漏洞(CVE-2021-31979和CVE-2021-33771)部署名为 DevilsTongue 的新恶意软件。
Citizen Lab在其报告中表示,Candiru 是一家位于以色列的情报公司,专门向政府出售间谍软件。根据报道,他们的间谍软件可以感染和监控iPhone、Android、Mac、PC 和云帐户。微软威胁情报中心 (MSTIC)于2021年7月15日发布了该事件的分析报告。据微软表示,Sourgum通常出售网络武器,使其客户(通常是世界各地的政府机构),能够入侵其目标的计算机、电话、网络基础设施和互联网连接设备,然后这些机构自己选择目标人物并进行实际操作。
微软和 Citizen Lab 合作禁用了DevilsTongue。微软研究人员发现,该恶意软件影响了巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡等至少100名受害者,他们包括政治家、人权活动家、记者、学者、大使馆工作人员和政治异议人士。
0x01 事件详情
对Candiru攻击的调查是在CitizenLab分享了一个在受害者系统中发现的恶意软件样本,并导致发现CVE-2021-31979和CVE-2021-33771这2个Windows内核提权漏洞0 day漏洞之后开始的。攻击者可以利用这2个漏洞实现提升权限、浏览器沙箱逃逸并获得内核代码执行权限。目前这2个0 day已在微软7月补丁日中修复。
Citizen Lab使用 Internet 扫描将750多个网站与Candiru的间谍软件基础设施联系起来,进一步确认了事件可信度。此外,他们还发现,这些域中有许多被设计为模仿代表媒体公司和宣传组织的域,包括大赦国际和 Black Lives Matter 运动。
据表示,攻击者滥用了几种流行浏览器和Windows操作系统中的漏洞利用链,将DevilsTongue恶意软件投放到受害者的电脑上。
DevilsTongue恶意软件允许其操作者收集和窃取受害者的文件,解密和窃取Windows设备上的Signal信息,并从LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera网络浏览器中窃取cookies和保存的密码。此外,它还可以利用存储在受害者电脑上的Facebook、Twitter、Gmail、Yahoo、Mail.ru、Odnoklassniki和Vkontakte等网站的cookie来获取敏感信息,比如读取受害者的消息,窃取照片等。
微软研究人员还发现,DevilsTongue还可以在其中一些网站上以受害者的身份发送信息,并且发送信息的能力可以被武器化,以向更多的受害者发送恶意链接。
据微软表示,这些攻击主要针对消费者,微软本周发布的保护措施将阻止Sourgum的工具在已经被感染的计算机上执行,并防止在更新的计算机、运行Microsoft Defender防病毒软件的计算机以及使用MicrosoftDefender for Endpoint的计算机上发生新的感染。
0x02 处置建议
建议Windows用户尽快应用CVE-2021-31979和CVE-2021-33771的安全更新(已于2021年7月13日发布),并启用Microsoft Defender防病毒软件,以防止被恶意软件利用。此外,建议应用以下通用安全建议:
- 检查并及时修复系统或应用中存在的其它安全漏洞。
- 使用防火墙和反间谍软件,并时常更新防病毒和反间谍软件应用程序以防止威胁。
- 使用最新的威胁情报信息,以实时了解攻击者所使用的TTP。
- 机密文件不要存放在联网的计算机中,包含敏感信息的文件应加密存放。
- 为了保护公司网络和系统环境,请对员工进行安全培训,专门的培训课程可以提供帮助。更多Linux资讯请查看:https://www.linuxprobe.com
标签:受害者,微软,Windows,恶意软件,2021,DevilsTongue,CVE,0day 来源: https://blog.csdn.net/llawliet0001/article/details/119031032
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。