以色列間諜程式DevilsTongu濫用多個瀏覽器與Windows作業系統零時差漏洞,感染並監控iPhone與Android手機、Mac與Windows 作業系統電腦及雲端帳號等,全球已逾百名受駭者。
網際網路監督組織Citizen Lab與微軟揭露,由以色列駭客公司Candiru所製作之間諜程式DevilsTongu,串連多個瀏覽器與Windows作業系統零時差漏洞,其中2個漏洞為微軟於今年7月修補之CVE-2021-31979與CVE-2021-33771。
Citizen Lab與微軟仍持續研究此間諜程式,初步調查顯示其具有強大之防追蹤、反分析及間諜能力,除包括基本之檔案蒐集、註冊檔查詢、執行WMI命令及查詢SQLite資料庫等,亦能竊取通訊應用程式Signal之對話紀錄,或從瀏覽器中竊取受駭者憑證,以利後續以受駭者名義傳遞訊息予其他攻擊對象。
目前已存在逾百名間諜程式DevilsTongue受駭者,其中約半數受駭者位於巴勒斯坦,其餘受駭者則分布於以色列、伊朗、黎巴嫩、葉門、西班牙、英國、土耳其、亞美尼亞及新加坡,受駭者多半為人權鬥士、異議份子、新聞記者、或政治人物等。
資料來源:
Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus
https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/
https://www.zdnet.com/article/microsoft-points-the-finger-at-israeli-private-exploit-seller-for-devilstongue-malware-attacks/