研究人员称，在亚美尼亚至少有十几名受害者成为Pegasus的目标，这是iPhone间谍软件在军事冲突中的首次使用记录。NSO集团的间谍软件工具以前曾被政府使用，据称它们被用来试图入侵欧盟委员会官员的手机。以至于在2021年，苹果公司开始向它怀疑被黑的iPhone用户发送通知。 尽管NSO集团早早被列入美国国家安全风险黑名单，但它仍在继续开发新的方法来入侵iPhone和其他智能手机。 现在据《卫报》报道，研究人员声称，一名联合国官员，加上记者和人权活动家都遭遇网络入侵。据称，这十几名受害者是被阿塞拜疆政府因其与亚美尼亚的冲突而受到影响的。 黑客攻击发生在2020年10月至2022年12月，似乎与两国在有争议的纳戈尔诺-卡拉巴赫地区的军事冲突有关。 AccessNow以及大赦国际等机构的研究人员表示，亚美尼亚前外长安娜-纳格达良至少被黑27次。据报道，这些黑客及其时间使纳格达连”正处于与纳戈尔诺-卡拉巴赫危机有关的最敏感的对话和谈判中”。 纳格达连告诉研究人员，当时她的手机里有”关于战争期间发展的所有信息，即使手机上有最安全的系统，也不可能做到完全安全，”。 研究报告列出了其他受害者的名字，包括记者卡伦-阿斯拉尼扬（Karlen Aslanyan）和阿斯吉克-贝德维扬（Astghik Bedevyan）。五名受害者选择了匿名，但研究人员说其中一名是联合国代表。 据《卫报》报道，研究人员说黑客攻击是由NSO集团的一个客户完成的。该出版物不能最终确定是哪一个。 NSO集团的一位发言人说，它还没有收到新的报告。然而，该发言人表示，该公司会调查所有关于其间谍软件被滥用的可信报告。 目前还不知道哪些政府或机构正在使用PegASUS间谍软件，尽管美国联邦调查局据称已经拒绝使用该软件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7237104053191361084/ 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露以色列间谍软件公司 QuaDreamu 遇到了大麻烦，内部已经召开员工会议，宣布近期会着手关闭其业务。 追溯 QuaDream 如此着急关闭公司的原因，可能要从上周微软和非营利组织 Citizen Lab 的研究成果说起。当时，两个机构的安全研究人员发现一款名为 QuaDream 的商业间谍软件，利用一个被称为ENDOFDAYS 的零日漏洞，偷偷入侵 iPhone手 机。 据悉，ENDOFDAYS 零日漏洞存在于 iOS 14.4 和 14.4.2 版本，在 2021 年 1 月至 11 月期间，某些网络攻击者通过“不可见的 iCloud 日历邀请”利用了该漏洞。 QuaDreamu 将会关闭业务 研究人员的分析结果显示， QuaDreamu 受害者主要是位于北美、中亚、东南亚、欧洲和中东地区的记者、政治反对派人士和一名非政府组织工作人员。 据以色列报纸《Calcalist》援引不具名的消息来源称，QuaDream 通知所有员工公司将在未来几天内停止运营，并且要求员工参加听证会， 《Calcalist》报道如下： 据消息人士称，最近几个月，QuaDream 公司一直经营困难，已经有一段时间没有充分活动了，微软和 Citizen Lab 的研究结果给了它最后一击。 目前，QuaDream 办公室只剩下两名看管电脑和其它设备的员工。与此同时，董事会正试图出售公司的知识产权。 值得一提的是，以色列貌似很擅长“生产”间谍软件公司。过去几年，以色列的 NSO 和 Candiru 也多次因其制造的间谍软件被用来监视记者、异议人士和政府反对派，登上新闻头条。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364075.html 封面来源于网络，如有侵权请联系删除  

谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。 这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。 这些供应商正在使危险的黑客工具的扩散，武装那些无法在内部开发这些能力的政府，TAG的Clement Lecigne在一份新报告中说。 虽然根据国家或国际法律，监控技术的使用部分是合法的，但人们经常发现有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。 这两次行动中的第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送缩短的链接。点击后，这些URL将收件人重定向到承载安卓或iOS漏洞的网页，然后他们又被重定向到合法的新闻或货运追踪网站。 iOS的漏洞链利用了多个漏洞，包括CVE-2022-42856（当时的零日）、CVE-2021-30900和一个指针认证代码（PAC）绕过，将一个.IPA文件安装到易受影响的设备上。 安卓系统的漏洞链包括三个漏洞–CVE-2022-3723、CVE-2022-4135（滥用时为零日）和CVE-2022-38181以传递一个未指定的有效载荷。 虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞，在2022年8月被Arm打了补丁，但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。 另一点值得注意的是，点击链接在三星浏览器中打开的安卓用户，被使用一种称为意图重定向的方法重定向到Chrome。 第二个活动是在2022年12月观察到的，包括几个针对最新版本的三星浏览器的零日和n日，这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。 该网页与西班牙间谍软件公司Variston IT使用的网页类似，都植入了一个基于C++的恶意工具包，能够从聊天和浏览器应用程序中获取数据。 被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。据信，该漏洞链被瓦里斯顿信息技术公司的一个客户或合作伙伴所利用。 目前，这两个活动的规模和目标的性质目前还不清楚。 在拜登签署“限制使用商业间谍软件”的行政命令几天后，这些消息就被披露出来。足以见得，商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术，即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362018.html 封面来源于网络，如有侵权请联系删除

墨西哥检察官在一份声明中提到，他们一直关注前律师工会以2300万美元收购“飞马”（Pegasus ）间谍软件的事件。墨西哥律师检察院提到它正在调查“飞马”间谍软件的收购，以及它是否是合法进行的。 在周日的声明中，检察官提到了目前对两个人和一位杰出的前官员对PegASUS 间谍软件的使用进行的调查，几天前，现任当局否认它对记者或评论家进行了间谍活动。 Pegasus属于以色列间谍软件机构NSO集团。该集团有时仅将软件程序出售给政府或执法机构。 在声明中，墨西哥检察官表示，他们一直关注前律师工会的工作场所以 4.57 亿墨西哥比索（2300 万美元）的价格收购 Pegasus。 他们一直试图确定这是否是在正确的理由下完成的，并采取了必要的公开招标程序。 在第二次调查中，工作场所提到司法当局已获得 NSO 一直在“非法推广”Pegasus 的证据，但没有提供额外的细节。 报道称，NSO没有立即回复评论请求。 NSO否认参与 本月早些时候，NSO 告知路透社信息公司， 在以色列当局批准后，它仅将 Pegasus 许可给主权国家和当局公司的执法和情报公司 ，并在发现不当行为时终止合同。 NSO称它没有运行 Pegasus，对其利用率没有任何可见性，也没有获取有关潜在客户的详细信息。 在监督机构报告称至少三名调查墨西哥侵犯人权行为的人的电话被“飞马”感染后，墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔否认他的官员监视记者或反对者后近两周发布了律师工会的公告。 洛佩斯·奥夫拉多尔在 2018 年当选总统，他在整个竞选活动中承诺结束联邦政府对其居民的监视。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327983.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一家奥地利公司DSIRF开发了针对律师事务所、银行和咨询公司的间谍软件。 7月底，微软威胁情报中心和微软安全响应中心的研究人员将一个名为Knotweed的威胁组织与奥地利一家名为DSIRF的监视公司联系起来，该公司因使用多个Windows和Adobe零日漏洞而闻名。该组织使用一种名为Subzero的监视工具瞄准欧洲和中美洲的实体。 微软表示，多篇新闻报道已将该公司与Subzero恶意软件工具集联系起来，该工具集用于破解各种设备，手机、计算机以及网络和互联网连接设备。 研究人员发现有证据表明DSIRF与Knotweed的操作有关，包括Subzero使用的C2基础设施，以及向DSIRF颁发的代码签名证书，用于对漏洞进行签名。 上周，奥地利宣布正在调查一份报告，该报告称DSIRF与至少三个国家的间谍软件目标实体有关。 奥地利内政部表示，它不清楚该事件，也没有与之建立业务关系。 “当然，国家安全情报院会核实这些指控。到目前为止，没有证据表明上述公司使用了间谍软件。”奥地利内政部发表的一份声明表示。 奥地利的Kurier报纸证实，DSIRF开发了Subzero监视软件，但补充说，该软件没有被滥用，是专门为欧盟国家当局开发的——该报纸还补充说，间谍软件没有商业价值。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Techspot报道，一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马，旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元，其中大部分似乎从其15岁起就被用在了外卖和快递项目上。 24岁的Jacob Wayne John Keen因涉嫌向来自128个不同国家的网络犯罪分子、家庭暴力实施者等人出售名为Imminent Monitor的木马病毒而被捕。该工具允许用户以毫无戒心的受害者为目标，窃取他们的个人数据，跟踪输入文件的信息，并利用目标的网络摄像头和麦克风对他们进行监视。 这次逮捕是在2017年启动的全球刺探行动之后进行的。这项名为”Cephus行动”的全球努力是在澳大利亚联邦警察(AFP)从美国联邦调查局和Palo Alto Networks获得可疑信息后开始的。 据称，Keen在15岁时创建并开始以每个用户35美元的价格出售该工具，当时他住在母亲的出租房里。该工具的收益总额在30万至40万美元之间，直到它在2019年最终被关闭。关闭是在执行几项由 AFP领导的搜查令之后执行的，这些搜查令扣押了被发现包含指向 RAT开发证据的硬件和资产。Keen最近的逮捕是基于世界各地的参与执法机构向AFP提供的额外证据。 根据 AFP的报告，该工具被用来监视全球数以万计的受害者，而该工具的买家中至少有200人直接来自澳大利亚。在这些来自澳大利亚的嫌疑人中，有很多人被发现参与了以前的家庭暴力电话，这种关联性在一定程度上说明了什么样的犯罪分子利用了这种邪恶的工具。对可能使用该工具的其他行为者的调查仍在进行中。 当局分析的证据显示，在Keen9年多的参与过程中，黑客工具的大部分收益被用来购买外卖食品。本月早些时候，他遭到了六项指控，并计划在8月的某个时候出庭。Keen的母亲似乎也知道这些犯罪活动并从中受益。她还被指控从事侵入性工具的销售并从中获益。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1299139.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱，该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发，据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。 CloudMensis是用Objective-C编写的，于2022年4月首次发现，旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限，这表明该恶意软件是针对相关实体的高度针对性行动的一部分。 ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载，该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件，进而窃取文档、截图和电子邮件附件等。 据悉，第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹，这些漏洞利用了2017年现已解决的四个安全漏洞，这表明CloudMensis可能已经运行了很多年。 该植入软件还具有绕过TCC安全框架的功能，该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。 它通过利用另一个补丁安全漏洞来实现这一点，该漏洞追踪为CVE-2020-9934，于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件，以及运行shell命令和其他任意有效负载。 此外，对云存储基础设施元数据的分析表明，pCloud账户创建于2022年1月19日， 妥协始于2月4日，在3月份到达顶峰。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

当地时间7月6日，苹果公司宣布，计划在iOS 16、iPadOS 16和macOS Ventura中引入一种新模式Lockdown Mode（封锁模式），以保护高风险用户免受 “高度针对性的网络攻击”。 目前，该功能旨在应对带有国家背景的监控软件如Pegasus、DevilsTongue、Predator和Hermit，即将推出的系统更新的测试版中可以预览该功能。 封锁模式默认关闭，可以通过进入设置>隐私和安全>封锁模式来打开。 苹果公司在声明中称，启用封锁模式后，将强化手机设备防御并严格限制某些功能，大幅减少可能被间谍软件利用的攻击面。 被限制的功能包括：阻止除图片以外的大多数信息附件类型、禁用信息中的链接预览；使及时（JIT）JavaScript编译失效、取消对照片共享相册的支持、阻止来自未知号码的FaceTime来电。 当iPhone被锁定时，其他限制会切断与电脑或配件的有线连接，并且禁止安装配置文件，这一功能精彩被用来绕过App Store的侧载应用程序。 苹果还表示，它计划日后在封锁模式中加入更多的对策，同时邀请安全研究专家来发掘高危漏洞，符合标准的人将有资格获得高达200万美元的漏洞赏金。 一个月前，苹果在iOS 16和macOS Ventura中首次推出快速安全响应功能，该功能可以帮助用户在不更新完整操作系统版本的前提下，部署安全修复。 谷歌和Meta也提供类似的软件功能，称为高级账户保护和Facebook保护，旨在保护那些处于 “高攻击风险 “的个人账户，使其免受接管攻击的影响。未来，谷歌也可能在安卓系统中更新类似功能。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/338587.html 封面来源于网络，如有侵权请联系删除

根据Google威胁分析小组（TAG）公布的研究，一个复杂的间谍软件活动正在得到互联网服务提供商（ISP）内部人士的暗中帮助以欺骗用户下载恶意的应用程序。这证实了安全研究组织Lookout早些时候的发现，该组织将这种被称为Hermit的间谍软件与意大利间谍软件供应商RCS实验室联系起来。 一个被攻击和篡改的网站案例 Lookout称，RCS实验室与NSO集团 – 也就是PegASUS间谍软件背后臭名昭著的监控雇佣公司是同一家公司，他们向各国各级政府机构兜售商业间谍软件。Lookout的研究人员认为Hermit已经被哈萨克斯坦政府和意大利当局部署。根据这些发现，Google已经确定了这两个国家的受害者，并表示它将通知受影响的用户。 正如Lookout的报告中所描述的，Hermit是一个模块化的威胁，可以从一个指挥和控制（C2）服务器上下载额外的功能。这使得间谍软件能够访问受害者设备上的通话记录、位置、照片和短信。Hermit还能录制音频，拨打和拦截电话，以及root到Android设备，这使它能够完全控制其核心操作系统。 “含有Hermit的应用程序从未通过Google Play或苹果应用商店提供” 这种间谍软件可以通过将自己伪装成合法来源来感染Android和苹果iPhone手机，通常以移动运营商或消息应用程序的形式出现。Google的网络安全研究人员发现，一些攻击者实际上与互联网服务提供商合作，关闭受害者的移动数据，以推进其计划。然后，不良行为者会通过短信冒充受害者的移动运营商，欺骗用户相信下载一个恶意的应用程序将恢复他们的互联网连接。如果攻击者无法与互联网服务供应商合作，Google说他们会冒充看似真实的消息应用程序，欺骗用户下载。 Lookout和TAG的研究人员说，含有Hermit的应用程序从始至终从未通过Google Play或苹果应用商店提供。然而，攻击者却能够通过注册苹果公司的开发者企业计划，在iOS上分发受感染的应用程序。这使得不怀好意者可以绕过App Store的标准审查程序，获得”满足任何iOS设备上所有iOS代码签名要求”的证书。 苹果公司表示，他们已经注意到并撤销了与该威胁有关的任何账户或证书。除了通知受影响的用户，Google还向所有用户推送了Google Play Protect更新。 阅读安全报告全文： https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1285141.htm 封面来源于网络，如有侵权请联系删除

近日，研究人员观察到有超过200个Android应用程序正在传播一款名为Facestealer的间谍软件以窃取用户凭据和其他有价值的信息，如与受害者帐户相关的Facebook cookie和个人身份信息。据统计，在这些应用程序中，42个伪装为VPN服务，20个为相机程序，13个照片编辑程序。 “与另一款移动恶意软件Joker类似，Facestealer经常会更改自身代码，从而产生许多变体，”趋势科技（Trend Micro）的分析师Cifer Fang、Ford Quin和Zhengyu Dong在一份新报告中这样写道，“自从被发现以来，这款间谍软件一直困扰着Google Play。” 资料显示，2021年7月，Facestealer首次被Doctor Web公司发现并记录，定性为一组入侵 Android官方应用市场的欺诈性应用，其目的是窃取Facebook登录证书等敏感数据。 除此之外，趋势科技还透露，它发现了40多个流氓加密货币矿工应用程序，这些应用程序瞄准了对虚拟货币感兴趣的用户，旨在诱骗用户观看广告和支付订阅服务。有些应用程序甚至会更进一步，试图窃取用于恢复加密货币钱包访问的私钥和助记短语（种子短语），例如Cryptomining Farm Your own Coin。 为避免成为此类诈骗应用的受害者，研究人员向用户提供了若干建议，包括：查看差评，验证开发者合法性，避免从第三方应用商店下载应用等。 新研究分析了在野外安装的恶意 Android 应用程序 基于2019年至2020年期间在1170万多台设备上安装的880万应用程序，来自NortonLifeLock和波士顿大学的研究人员发表了他们所谓的“最大的设备上的潜在有害应用程序（PHA）研究”。 该研究指出，“PHA在谷歌Play上的平均停留时间为77天，在第三方市场上为34天”。研究还指出，由于在PHA被发现和被移除之间存在时滞，因此有3553款应用在被移除后出现了跨市场迁移。 最重要的是，研究表明，当用户切换设备并在从备份恢复时自动安装应用程序的时候，PHA 的平均停留时间要长得多。 据悉，通过使用三星Smart Switch移动应用程序，已有多达1.4万个PHA转移到了 3.5万台新的三星设备上，这些应用程序在手机上的存在时间约为93天。 学者表示：“Android 安全模型严重限制了移动安全产品在检测到恶意应用程序时可执行的操作，从而使 PHA在受害设备上持续存在很长时间，而当前的移动安全程序使用的警告系统也无法说服用户迅速卸载PHA。” 转自 Freebuf，原文链接：https://www.freebuf.com/news/333470.html 封面来源于网络，如有侵权请联系删除