總部設(shè)在以色列的NSO集團利用蘋果iMessage中一個未知的零點擊漏洞，將Pegasus或Candiru惡意軟件植入到了政治家、記者和社會活動家的iPhone手機上。

Citizen實驗室在周一的一份報告中公布了這一發(fā)現(xiàn)，稱有65人通過一個名為HOMAGE的iPhone漏洞感染了惡意軟件。報告稱，這個以色列公司NSO集團和第二家公司Candiru是2017年至2020年期間發(fā)生的這些攻擊活動的幕后推手。

Candiru，又名Sourgum，它是一家商業(yè)公司，據(jù)稱它會向世界各地的政府出售DevilsTongue惡意監(jiān)控軟件。蘋果iMessage HOMAGE漏洞就是一個所謂的零點擊漏洞，這意味著不需要和受害者進行任何互動，就可以在預(yù)定的目標(biāo)上偷偷地安裝惡意軟件。自2019年以來，蘋果的iOS軟件版本不再受到HOMAGE攻擊的影響。

加泰羅尼亞的政治家和活動家成為了攻擊目標(biāo)

Citizen實驗室報告的作者寫道，此次黑客攻擊涵蓋了加泰羅尼亞國家的各個社會領(lǐng)域，從學(xué)者、活動家到一些非政府組織(NGO)。加泰羅尼亞的政府和民選官員也是此次廣泛攻擊的目標(biāo)，其中就包括了約翰-斯科特-雷爾頓、埃利斯-坎波、比爾-馬爾扎克、巴赫-阿卜杜勒-拉扎克、西耶納-安斯蒂斯、戈茲德-伯庫、薩爾瓦托雷-索利馬諾和羅恩-迪伯特。

他們寫道，從加泰羅尼亞政府的最高層到歐洲議會的成員、立法者，以及他們的工作人員和家庭成員都成為了目標(biāo)。

關(guān)于誰發(fā)動了這些攻擊?研究人員說，最終也沒有發(fā)現(xiàn)該行動是由哪個組織發(fā)動的，但是有證據(jù)表明西班牙當(dāng)局可能正是此次行動的幕后推手。它指出西班牙國家情報中心(CNI)可能是主謀，并引用了該組織曾經(jīng)的監(jiān)視和間諜丑聞的歷史。

惡意軟件的具體分析

針對加泰羅尼亞進行攻擊的攻擊者至少使用了兩個漏洞對受害者進行了攻擊：零點擊漏洞和惡意短信。鑒于零點擊漏洞不需要受害者進行任意交互，因此防御起來很有難度。

Citizen實驗室稱，攻擊者是利用了iOS的零點擊漏洞(HOMAGE)以及NSO集團用來傳播其Pegasus惡意軟件的惡意短信漏洞來對用戶進行攻擊的。

研究人員寫道："HOMAGE漏洞似乎是在2019年的最后幾個月才被犯罪分子使用的，它使用到了一個iMessage零點擊組件。在com.apple.mediastream.mstreamd進程中啟動一個WebKit實例，在com.apple.private. alloy.photostream中可以查找到Pegasus電子郵件地址。"

據(jù)悉，HOMAGE在2019年和2020年也被使用過6次。Citizen實驗室表示，運行移動操作系統(tǒng)版本大于13.1.3(2019年9月發(fā)布)的蘋果設(shè)備不會受到攻擊。

攻擊活動中使用到的其他惡意軟件和漏洞

研究人員說，KISMET零點擊漏洞最近也被用于網(wǎng)絡(luò)攻擊。2020年12月，Citizen實驗室表示，36名記者的手機被四個獨立的APTs感染了KISMET，此次攻擊可能與沙特阿拉伯或阿聯(lián)酋有關(guān)。

NSO集團在對加泰羅尼亞的攻擊中所利用的WhatsApp緩沖區(qū)溢出漏洞(CVE-2019-3568)，此前Citizen實驗室就曾在2019年報告過，并在2019年5月發(fā)布了補丁。當(dāng)時，《金融時報》報道了一家據(jù)信是NSO集團的私人公司發(fā)動了零日攻擊。

研究人員說，作為針對加泰羅尼亞攻擊的一部分，有四個人使用了Candiru間諜軟件公司的間諜軟件從而成為了受害者。這些攻擊會試圖利用兩個現(xiàn)已打過補丁的零日漏洞(CVE-2021-31979，CVE-2021-33771)來進行權(quán)限提升。兩者都是由微軟發(fā)現(xiàn)并在2021年7月發(fā)布了補丁。

研究人員寫道，我們這里總共發(fā)現(xiàn)了七封含有Candiru間諜軟件的電子郵件，這些郵件都含有stat[.]email的鏈接。Candiru的間諜軟件也顯示，Candiru是為廣泛攻擊設(shè)備而設(shè)計的工具，該工具可以竊取設(shè)備的文件以及瀏覽器的相關(guān)內(nèi)容，但也會竊取保存在加密的Signal Messenger Desktop應(yīng)用程序中的信息。

2021年8月，Citizen實驗室報告說，最近NSO集團的Pegasus間諜軟件使用了一個此前從未見過的零點擊iMessaging漏洞來非法監(jiān)視Bahraini的政治活動家。

Citizen實驗室認為這些攻擊活動是 “大量且無節(jié)制濫用” 用戶隱私的例子，表明目前在向政府客戶和其他人出售間諜軟件方面嚴重缺乏監(jiān)管約束。

現(xiàn)在可以確定的是，NSO集團、Candiru、其他同行業(yè)的公司以及它們的各種集團，都還沒有完全建立起防止濫用間諜軟件的基本的保障措施。

本文翻譯自：https://threatpost.com/catalangate-spyware/179336/如若轉(zhuǎn)載，請注明原文地址。