Microsoft ve Citizen Lab, İsrail Casus Yazılım Şirketi CandaRu'yu (Sourgum olarak da takip ettiğini) bağladı.
Vatandaş laboratuvarı, "Candiru, yalnızca hükümetler için casus yazılım satan gizli bir İsrail merkezli bir şirkettir". "Bildirildiği üzere, casus yazılımları iPhone'lar, Androidler, MAC'ler, PC'ler ve bulut hesaplarını bulaştırabilir ve izleyebilir."
"Sourgum, genellikle müşterilerinin, genellikle dünyadaki hükümet kurumlarını, hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapısını ve internet bağlantılı cihazlarına haclatabilen Cyberweapons'i satıyor" dedi. "Bu ajanslar daha sonra gerçek operasyonların kendilerini hedeflemeye ve yöneteceğini seçer."
Canlı'nın saldırılarına ilişkin soruşturma, vatandaş laboratuvarlarının bir kurbanın sistemlerinde bulunan kötü amaçlı yazılım örneklerini paylaştı ve CVE-2021-31979 ve CVE-2021-33771'in keşifine yol açtı, bu ayın salı günü Microsoft tarafından belirlenen iki sıfır gün güvenlik açıklaması.
Microsoft araştırmacılar "Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Birleşik Krallık, Türkiye, Ermenistan, Yemen, İspanya, Birleşik Krallık, Türkiye, Ermenistan, Singapur", "" Politikacılar, İnsan Hakları Aktivistleri, Gazeteciler, Akademisyenler, Elçilik İşçileri, ve politik muhalifler. "
Citizen Lab, Candiru'nun casus yazılım altyapısına, İnternet taraması kullanılarak orta derecede yüksek güvenle 750'den fazla siteye bağladı.
Ayrıca, bu alanların çoğunun, Uluslararası Af Örgütü ve kara yaşamları da dahil olmak üzere, medya şirketlerini ve savunuculuk organizasyonlarını temsil eden alanları taklit ettiğini de buldular.
Saldırganlar, DevilStongue Kötü Amaçlı Yazılımları, çeşitli popüler tarayıcılarda ve Windows işletim sisteminde bulunan güvenlik açıklarını kötüye kullanan bir sömürge zinciri kullanarak kurbanların bilgisayarlarına teslim etti.
DevilStongue, operatörlerinin kurbanların dosyalarını toplamasını ve çalmasını, Windows cihazlarındaki sinyal mesajlarını şifresini çözmesini ve çalmasını ve çerezleri çalmasını ve LSASS ve Chrome, Internet Explorer, Firefox, Safari ve Opera Web tarayıcılarından şifreleri çalmasını sağlar.
Ayrıca, facebook, twitter, gmail, yahoo, mail.ru, Odnoklassniki ve VKontakte gibi web siteleri için kurbanın bilgisayarında depolanan çerezleri de kullanabilir. Hassas bilgileri hasat edin.
DevilStongue, bu web sitelerinin bazılarının, mağdurun bu mesajları gönderdiği bir alıcıya göründüğü gibi, "Microsoft araştırmacılarının daha da bulunduğu herhangi bir alıcıya mesaj gönderebilir. "
Bu yetenek, tehdit aktörlerinin Candiru'nun casus yazılımını, mağdurlarının cihazlarından kötü amaçlı linkler veya mesajlar göndermeye, mesajı kimin teslim edilmesini imkansız hale getirmesini sağlayabilir.
Microsoft'un Digital Security Unit birimindeki Genel Müdür "Cristin Goodwin," Bu saldırılar, bu saldırılar, tüketici hesaplarını büyük ölçüde hedef almış, "Microsoft'un dijital güvenlik birimindeki Genel Müdür" Cristin Goodwin dedi.
"Bu hafta yayınladığımız korumalar, Sourgum'un araçlarının zaten enfekte olmuş bilgisayarlar üzerinde çalışmasını engelleyecek ve güncellenmiş bilgisayarlarda ve Microsoft Defender Antivirus'u çalıştıran ve Microsoft Defender'ı son nokta kullananları kullananlar."
Google: Rusça SVR bilgisayar korsanları, LinkedIn kullanıcıları Safari sıfır günü ile hedefledi
Çince bilgisayar korsanları, hedeflenen saldırılarda sıfır gün yeni Solarwinds kullanıyor
Solarwinds, vahşi doğada sömürülen kritik serv-u güvenlik açığını yamalar
Microsoft Temmuz 2021 Yama Salı Düzeltmeler 9 Sıfır Gün, 117 Kusurlar
Kaseya Yamaları VSA Ransomware Saldırısında Kullanılan VSA Güvenlik Açıkları
Kaynak: Bleeping Computer