根据最近的一份报告，与俄罗斯有关的网络犯罪分子使用的 Smokeloader 恶意软件仍然是乌克兰金融黑客的主要工具之一。 2023 年 5 月至 11 月期间，研究人员发现了 23 个 Smokeloader 活动，针对乌克兰的各种目标，包括金融机构和政府组织。 根据乌克兰主要国家网络机构 SSSCIP 与网络安全公司 Palo Alto Networks 合作发布的一份报告，黑客在 8 月和 10 月最为活跃，分别发起了 198 起和 174 起网络钓鱼事件。 乌克兰计算机应急响应小组 CERT-UA 追踪 Smokeloader 背后的组织 UAC-0006。该组织使用该恶意工具下载其他恶意软件，试图窃取乌克兰企业的资金。 据 CERT-UA 称，该恶意软件背后的组织试图从 2023 年 8 月至 9 月窃取数千万格里夫尼亚（1 美元=约 40 乌克兰格里夫尼亚）。 黑客主要通过网络钓鱼活动分发恶意软件，通常使用之前被泄露的电子邮件地址。研究人员表示，这种策略使他们能够“利用受信任的企业电子邮件帐户来提高欺骗目标陷入网络钓鱼企图的机会”。 一些电子邮件主题和文件名包含拼写错误或由乌克兰语和俄语单词混合组成。 在最近10 月份的活动中，黑客使用 Smokeloader 攻击国家、私人和金融机构，特别是会计部门。 黑客将 Smokeloader 隐藏在看似无害的财务文件之下。这些文件大多数都是合法的，并且是从之前受到威胁的组织中窃取的。 Smokeloader 使用各种规避策略来绕过安全措施而不被发现。最终获得系统访问权限后，它可以提取关键的设备信息，包括操作系统详细信息和位置数据。 研究人员表示，尽管乌克兰的 Smokeloader 攻击有所增加，但这种恶意软件“仍然是全球威胁，并且在针对其他国家的多个活动中继续出现”。 自 2011 年以来， 攻击者一直在地下论坛上为 Smokeloader 做广告。研究人员并未将这种恶意软件归因于特定的黑客组织，但他们认为与俄罗斯网络犯罪活动存在潜在联系。 多年来，Smokeloader 不断更新和发展，以跟上技术的步伐，以避免被安全供应商检测到。 自该恶意软件首次出现以来，各种组织已将其用于攻击全球不同的行业和组织。研究人员表示，这些活动包括最近在乌克兰发生的有针对性的网络攻击以及导致 Phobos 勒索软件感染的犯罪活动。 Phobos 是一种勒索软件即服务，允许网络犯罪分子通过网络钓鱼活动或暴力攻击获取登录凭据，其中攻击者尝试通过尝试不同的用户名和密码组合来访问目标帐户，直到找到正确的密码。 今年 2 月，黑客使用Phobos 变种攻击了为罗马尼亚医院提供服务的 IT 平台。此次攻击导致近 25 家医院的数据被加密，约 75 家医院的互联网被切断。   转自会杀毒的单发狗，原文链接：https://mp.weixin.qq.com/s/0KzKN433B9VLM_VOL-8p8Q 封面来源于网络，如有侵权请联系删除

美国有线电视新闻网 (CNN) 报道称，本周早些时候，阿拉巴马州多个政府机构的网站因分布式拒绝服务攻击而中断，自称黑客行动组织“ 匿名苏丹”的组织声称对此次攻击负责。 据阿拉巴马州州长办公室 Kay Ivey 称，Netscout 高级威胁情报经理 Richard Hummel 表示，DDoS 入侵持续了 5 到 10 分钟，并未导致任何网络泄露或数据泄露。 此外，州信息技术办公室指出，它已与供应商合作立即解决这一事件。此类攻击是在阿拉巴马州伯明翰市发生单独的网络中断之后发生的，这影响了许可、许可和税收活动以及警察的行动。此类事态发展正值针对州和地方政府的网络安全威胁日益普遍，Emsisoft 的一份报告指出，勒索软件攻击去年直接影响了美国 2,200 多个政府、学校和医院。   转自安全客，原文链接：https://www.anquanke.com/post/id/294030 封面来源于网络，如有侵权请联系删除

趋势科技分析师报告称有黑客利用Windows SmartScreen 漏洞在目标系统投放DarkGate 恶意软件。 该漏洞被追踪为 CVE-2024-21412 漏洞，是一个 Windows Defender SmartScreen 漏洞，它允许特制的下载文件绕过这些安全警告。SmartScreen 是 Windows 的一项安全功能，当用户试图运行从互联网下载的未识别或可疑文件时会显示警告。 攻击者可以通过创建一个Windows Internet快捷方式（.url文件）来利用这个漏洞，该快捷方式指向另一个托管在远程SMB共享上的.url文件，这将导致最终位置的文件被自动执行。 今年二月中旬，微软已经修复了该漏洞。但据趋势科技披露，Water Hydra黑客组织曾利用该漏洞将DarkMe恶意软件投放到交易商的系统中。 DarkGate攻击细节 攻击始于一封包含 PDF 附件的恶意电子邮件，里面有一个链接利用谷歌 DoubleClick Digital Marketing（DDM）服务的开放重定向绕过电子邮件安全检查。当受害者点击链接时，他们会被重定向到一个托管互联网快捷方式文件的受攻击网络服务器。该快捷方式文件（.url）链接到由攻击者控制的 WebDAV 服务器上托管的第二个快捷方式文件。 利用 CVE-2024-21412 SmartScreen 漏洞 使用一个 Windows 快捷方式打开远程服务器上的第二个快捷方式可有效利用 CVE-2024-21412 漏洞，就会导致恶意 MSI 文件在设备上自动执行。 自动安装 MSI 文件的第二个 URL 快捷方式 这些 MSI 文件伪装成 NVIDIA、Apple iTunes 应用程序或 Notion 的合法软件。 执行 MSI 安装程序后，另一个涉及 “libcef.dll “文件和名为 “sqlite3.dll “的加载器的 DLL 侧载漏洞将解密并在系统上执行 DarkGate 恶意软件有效载荷。 一旦初始化，恶意软件就能窃取数据、获取附加有效载荷并将其注入正在运行的进程、执行密钥记录并为攻击者提供实时远程访问。 下图概括了 DarkGate 操作员自 2024 年 1 月中旬以来采用的复杂、多步骤感染链： 黑暗之门攻击链 趋势科技称，此次活动采用的是DarkGate 6.1.7版本，与旧版本5相比，该版本具有XOR加密配置、新配置选项以及命令和控制（C2）值更新等特点。 DarkGate 6 中提供的配置参数使其操作员能够确定各种操作策略和规避技术，例如启用启动持久性或指定最小磁盘存储和 RAM 大小以规避分析环境。 DarkGate v6 配置参数 今年2 月微软发布了 “星期二补丁 “更新，此次更新修复了 CVE-2024-21412漏洞。用户应第一时间下载更新包以降低攻击风险。 入侵指标 (IoC) 列表示意图 目前，趋势科技已公布了此次 DarkGate 活动的完整入侵指标 (IoC) 列表。   转自Freebuf，原文链接：https://www.freebuf.com/news/394773.html 封面来源于网络，如有侵权请联系删除

Magnet Goblin组织积极利用公共服务器中的漏洞，在Windows和Linux系统上部署恶意软件。 该组织的目标是1天漏洞，即已发布补丁的公开安全问题，要求攻击者在目标系统上安装更新之前迅速采取行动。 发现Magnet Goblin活动的Check Point分析师指出，该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件（包括NerbianRAT和MiniNerbian），以及自定义JavaScript恶意软件变体WARPWIRE感染服务器，以窃取凭据。 针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用，包括ScreenConnect程序。还可能与CACTUS勒索软件有关，该勒索软件用于攻击Qlik Sense商业智能平台。 特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制（C2）服务器命令并提供加密通信。专家指出，MiniNerbian使用HTTP传输数据，并且仅在特定时间段内处于活动状态。 Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制：MiniNerbian通过HTTP进行通信，NerbianRAT使用原始TCP套接字。 Check Point 表示，在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用，及时修补至关重要。   转自安全客，原文链接：https://www.anquanke.com/post/id/293777 封面来源于网络，如有侵权请联系删除

思科Talos的研究员Chetan Raghuprasad在一份报告中指出：“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。” “GhostLocker和Stormous勒索软件已推出一项新的勒索即服务（RaaS）计划，名为STMX_GhostLocker，旨在为附属机构提供多样选择。” 这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。 技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。 GhostSec（切勿与Ghost Security Group混淆，后者也被称为GhostSec）是“五大家族”联盟的一部分，该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。 该组织成立于2023年8月，旨在“促进互联网地下世界的团结与联系，扩大并发展我们的工作和运营。” 去年年底，该网络犯罪组织通过GhostLocker进军勒索软件即服务（RaaS），以每月269.99美元的价格向其他参与者提供服务。随后，Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。 Talos最新的调查结果显示，这两个组织联手不仅涉及广泛领域的攻击，而且在2023年11月发布GhostLocker的更新版本，并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。 Raghuprasad解释道：“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务（PYV服务）。” STMX_GhostLocker在暗网上设有自己的泄密网站，上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。 GhostLocker 2.0（又称GhostLocker V2）是用Go编写的，号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信，督促受害者在7天内联系他们，否则就有泄露数据的风险。 RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况，并提供一个构建器，根据其偏好配置负载，包括待加密目录以及加密过程开始前需终止的进程和服务。 一旦部署，勒索软件将与命令和控制（C2）面板建立连接，继续执行加密例程，但在此之前将终止指定进程或服务，并窃取与特定扩展名列表匹配的文件。 Talos表示，他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’，用于递归扫描合法网站，另一个是名为‘GhostPresser’的进行跨站点脚本（XSS）攻击的黑客工具，”Raghuprasad解释。 GhostPresser的主要目的是入侵WordPress网站，允许威胁行为者更改网站设置、添加新插件和用户，甚至安装新主题，这表明GhostSec致力于壮大其武器库。 “该组织宣称他们使用该工具攻击受害者，但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具，”Talos告诉《黑客新闻》。 “深度扫描工具可用来寻找进入受害者网络的途径，而GhostPresser工具不仅危害受害者网站，还可以用于暂存有效载荷以进行分发，以避免使用攻击者基础设施。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/uvIR8uov5WpGO3hq2g-A7g 封面来源于网络，如有侵权请联系删除

Kimsuky（又名 Thallium 和 Velvet Chollima）是一个朝鲜黑客组织，以对全球组织和政府进行网络间谍攻击而闻名。 近日，有安全人员发现该黑客组织正利用 ScreenConnect 漏洞投递ToddleShark 的新型恶意软件，尤其是 CVE-2024-1708 和 CVE-2024-1709。 据悉，这些黑客利用的是今年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞，当时 ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到 23.9.8 或更高版本。2 月 21 日，针对这两个漏洞的公开漏洞被发布，包括勒索软件行为者在内的黑客们很快开始在实际攻击中利用这些漏洞。 根据 Kroll 网络情报团队发布的报告，新的 Kimsuky 恶意软件具有多态性特征，似乎是为长期间谍活动和情报搜集而设计的。 ToddleShark使用合法的微软二进制文件来最小化其痕迹，执行注册表修改以降低安全防御，并通过计划任务建立持久访问，随后是持续的数据窃取和外渗阶段。 ToddleShark 的详细信息 克罗尔公司的分析师表示，ToddleShark 是 Kimsuky 的 BabyShark 和 ReconShark 后门的新变种，以前曾以美国、欧洲和亚洲的政府组织、研究中心、大学和智库为目标。 黑客通过利用漏洞获得 ScreenConnect 端点的初始访问权限，从而获得身份验证绕过和代码执行能力。随后 Kimsuky 会使用合法的微软二进制文件（如 mshta.exe）来执行恶意脚本，如严重混淆的 VBS，将其活动与正常的系统进程混合。 该恶意软件会更改 Windows 注册表中的 VBAWarnings 键，允许在各种 Microsoft Word 和 Excel 版本上运行宏。同时创建计划任务，通过定期（每分钟）执行恶意代码来建立持久性。 注册表修改 ToddleShark 会定期从受感染设备中收集系统信息，包括以下内容： 主机名 系统配置详情 用户账户 活动用户会话 网络配置 已安装的安全软件 所有当前网络连接 枚举正在运行的进程 通过解析常用安装路径和 Windows 开始菜单列出已安装的软件 用于窃取数据的 16 个 cmd.exe 实例 最后，ToddleShark 会将收集到的信息编码成隐私增强邮件 (PEM) 证书，并外泄到攻击者的指挥和控制 (C2) 基础设施，这是一种先进的已知 Kimsuky 策略。 多态恶意软件 新恶意软件的一个显著特征是多态性，这使其在许多情况下都能逃避检测，并使分析更具挑战性。ToddleShark 通过几种技术实现了这一点。 首先，它在初始感染步骤中使用的被严重混淆的 VBScript 中使用随机生成的函数和变量名，从而增加了静态检测的难度。大量十六进制编码代码与垃圾代码穿插在一起，可能会使恶意软件有效载荷看起来是良性或不可执行的。 隐藏在垃圾代码中的功能代码 此外，ToddleShark 还采用了随机字符串和[功能]代码定位，这足以改变其结构模式，使基于签名的检测对其无效。 最后，用于下载附加阶段的 URL 是动态生成的，从 C2 获取的初始有效载荷的哈希值始终是唯一的，因此标准的拦截列表方法几乎是无效的。 Kroll 公司将在其网站上发布博文，分享与 ToddleShark 有关的具体细节和（入侵指标）IoC。   转自Freebuf，原文链接：https://www.freebuf.com/news/393309.html 封面来源于网络，如有侵权请联系删除

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。 来自佐治亚理工学院的研究人员发表了一篇论文，详细介绍了这个 ICS 安全项目。 对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。 就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。 虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。 为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。 这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。 为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。 一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。 研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。 一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。 研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。 去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。 IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。 “Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。 他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 […]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。” 虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。 专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。 “该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5Wd2kuz43q9KfF57OqmG3Q 封面来源于网络，如有侵权请联系删除

Epic Games 等大公司已被添加到勒索软件团伙的数据泄露网站中，威胁称将数百GB的数据泄露。 “目前没有证据证明Mogilevich 的勒索软件指控是合法的，Mogilevich 也没有联系Epic或提供任何证据证明指控的真实性。”Epic Games 在推特上写道。 美国视频游戏和软件开发商Epic Games是最近被莫吉列维奇勒索团伙称为受害者之一的知名公司之一。 这家美国视频游戏和软件开发商和发行商是最近被称为莫吉列维奇勒索团伙数据泄露网站受害者的众多知名公司之一。Mogilevich 勒索团伙声称其旨在惩罚未能保护基础设施安全的公司和企业，将其列为数据泄露受害者，并声称已出售其中一些公司的数据。 零售巨头Shein成为Mogilevich 勒索团伙最新的受害者，据称窃取了300GB的客户、员工和货运数据。他们还声称破坏了Kick的实时视频流服务系统，并窃取了75GB的用户数据和日志。   转自安全客，原文链接：https://www.anquanke.com/post/id/293606 封面来源于网络，如有侵权请联系删除

一个名为 SPIKEDWINE 的未知黑客组织正在针对印度外交使团所在的多个欧洲国家的大使发动攻击。为了实现他们的目标，攻击者使用了新的恶意后门 – WINELOADER。 根据Zscaler ThreatLabz的报告，黑客组织通过向外交使团员工发送PDF文件进行攻击，文件声称是印度大使发出的邀请函，邀请他们参加定于2024年2月2日举行的品酒会。 其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源，可能与SPIKEDWINE黑客组织攻击有关。然而，有迹象表明该活动可能最早始于2023年7月6日。另外，来自同一国家的其他类似PDF文档的发现也支持了这一推断。 安全研究人员Sudeep Singh和Roy Tay指出：“此次攻击规模较小，且在恶意软件及其命令和控制基础设施中采用了先进的方法、技术和程序”。 该PDF文件包含伪装成调查问卷的恶意链接，要求收件人填写表格以参加活动。点击链接会下载一个带有模糊JavaScript代码的HTML应用程序（”wine.hta”）。该应用程序旨在接收加密ZIP存档，其中包含来自同一域的WINELOADER恶意软件。 WINELOADER的核心功能包括从命令和控制服务器下载附加元素的模块，并将第三方DLL嵌入其中，以减少请求之间的时间间隔。 这些网络攻击的显著特征之一是使用被黑客入侵的网站作为命令和控制服务器，并托管恶意软件。据推测，命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求，从而使得攻击更加隐蔽且更难以检测。 正如研究人员指出的那样，黑客付出了巨大的努力来掩盖他们的踪迹，尤其是避免了可能引起内存分析系统和自动URL扫描注意的活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/293599 封面来源于网络，如有侵权请联系删除

Techreport网站消息，近日，美国法院下令要求以色列间谍软件开发商NSO集团将其Pegasus间谍软件的代码交给WhatsApp。 2019年，NSO集团利用WhatsApp的安全漏洞对1400名用户进行了为期两周的监视。同年，WhatsApp向该公司提起了法律诉讼。自那时起，诉讼一直在进行。 至今，美国法院下达该命令，这标志着WhatsApp诉讼的一次重要胜利。 另外，法院还要求NSO集团向WhatsApp演示这些间谍软件的工作原理，并提供完整功能的详细解读。 唯一对NSO集团有利的是，目前他们不需要披露其客户名单，也无需透露是谁指示他们监控那1400人，更不需要透露有关其服务器基础设施的信息。 NSO集团有何回应？ 目前，NSO集团未对此事件发表评论，或许是因为诉讼仍在进行中。 这项判决是由美国地方法院作出的，NSO集团对此并不满意。判决之前，该公司曾向美国最高法院申请驳回该案件。NSO集团认为，因为他们代表外国政府行事，应该获得法律豁免权。并且，他们将Pegasus间谍软件仅出售给经过“审查”的政府机构，且其使用目的仅限于打击恐怖主义活动。 在诉讼中，WhatsApp声称被监视的人包括记者、政治人物、外交官、人权倡导者以及一些外国政府的高级官员。因此，这些账户被标记为“恐怖主义调查对象”的理由并不成立，这使得NSO集团的主张显得没那么可信了。 2023年，由于间谍软件使用目的未公开，最高法院认定NSO集团的主张没有根据，并驳回了上诉请求，允许WhatsApp继续进行诉讼。 Pegasus是什么？NSO集团到底是做什么的？ Pegasus是一款间谍软件，一旦安装在目标设备上，就能够无限制地获取该设备上的所有内容，包括短信、图片、电子邮件、联系人，甚至是电话通话记录。 虽然NSO集团声称自己代表外国政府，但它在美国的声誉并不好。实际上，在2021年，乔·拜登总统将其列入黑名单，原因是发现其行为与美国的外交政策和国家安全利益相悖。 NSO集团表示，他们仅将这款间谍软件出售给全球的政府机构，并声称他们对购买者选择如何使用该软件不承担责任。 虽然从未公开披露过其客户名单，但内部报告显示，匈牙利、印度、卢旺达、沙特阿拉伯和阿联酋等国家曾与NSO集团有过商业往来。   转自Freebuf，原文链接：https://www.freebuf.com/news/393194.html 封面来源于网络，如有侵权请联系删除