HackerNews 编译，转载请注明出处： 网络安全公司Insikt Group的最新分析显示，尽管自2023年7月起遭受美国制裁，Predator间谍软件仍持续吸引新用户。 该间谍软件活动在经历早期因制裁和公开曝光导致的衰退后近期再度活跃。研究团队发现其更新了基础设施网络，并首次确认莫桑比克成为新客户，凸显监控工具仍在持续扩散，尤其在非洲地区——Predator已识别的客户中超半数位于非洲大陆。此外，与捷克实体FoxITech s.r.o.的关联表明，幕后运营方Intellexa联盟仍在秘密运作。 2024年3月，美国财政部外国资产控制办公室（OFAC）宣布对Intellexa联盟的两名个人及五家实体采取行动，因其参与开发并分发用于攻击美国公民的Predator间谍软件。该监控软件还被用于监视美国政府官员、记者和政策专家。财政部警告称，商业间谍软件的扩散给美国带来日益增长的风险。该软件已被外国行为体滥用，针对全球范围内的异见人士和记者发动攻击。 Intellexa联盟成立于2019年，充当多家提供商业间谍软件及监控工具的进攻性网络公司的统一营销平台，这些工具专为定向和大规模监控活动设计。Predator间谍软件指一套可通过零点击攻击入侵受害者设备的监控工具组合，以其大规模数据窃取与监控能力著称。 Insikt Group揭露了Predator的新基础设施网络，包括规避性更新与高层级组件。研究人员在多个国家发现活动复苏证据，其中莫桑比克为新关联国家。分析还指出，第五层基础设施（Tier 5）与捷克实体FoxITech存在技术连接，而后者与Intellexa联盟相关。新版基础设施包含可能用于投送有效载荷和攻击受害者的域名。早期域名常伪装成新闻媒体等合法站点，而近期域名改用随机英文或葡萄牙语词汇组合（部分暗示特定目标区域，如伊拉克库尔德斯坦的Badinan地区）。这些域名多通过PublicDomainRegistry注册，且托管网络范围更广，反映出逃避检测的意图。 Predator基础设施已升级为更复杂的五层架构。前四层通过多重路由隐藏间谍软件源头，其中第四层常指向客户所在国家的IP地址。仍具神秘色彩的第五层（Tier 5）则关联捷克公司FoxITech——该公司与Intellexa联盟存在联系。运营方还启用虚假网站（如伪造的404错误页面、登录界面或模拟活动网站）作为欺骗策略。这些调整表明Predator仍是网络领域中持续存在且适应性极强的威胁。 “尽管仅前四层基础设施直接关联Predator客户的操作网络，但Insikt Group持续监测被称为第五层的附加层级——该层级在Predator相关操作中似乎扮演核心角色（具体机制尚不明确）”，报告指出，“第五层服务器已关联捷克实体FoxITech s.r.o.，该公司此前公开资料显示与Intellexa存在关联。” 自2024年3月起，Insikt Group追踪到Predator在十余个国家的活动。部分区域（如刚果民主共和国和安哥拉）在公开曝光后活动曾暂停，但安哥拉于2025年初重启操作。莫桑比克作为新用户出现，其关联域名和IP地址指向一个仍在使用虚假新闻及生活类网站的活动运营方。另一短暂出现的集群（可能关联东欧）暗示其正在进行技术测试或应对新制裁。 “Insikt Group发现的证据表明，尽管媒体广泛报道且针对Intellexa及相关实体的制裁持续实施，Predator仍在包括莫桑比克在内的地区被使用”，报告总结称，“尽管观察到近期活动，但疑似运营商数量较早期报告减少，表明公开曝光、制裁及相关措施可能已对Intellexa造成运营成本压力。此外，Predator运营商历史上长期保持稳定操作手法，但最新发现揭示其已采用新策略以规避检测。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

谷歌的威胁分析小组(TAG) 表示，国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商Cytrox开发的Predator间谍软件。部分攻击活动开始于2021年8月至2021年10月之间，攻击者利用针对Chrome和Android 操作系统的零日漏洞在最新的Android设备上植入Predator 间谍软件。 Google TAG成员Clement Lecigne和Christian Resell说：“这些漏洞是由一家商业监控公司 Cytrox 打包并出售给不同的政府支持的参与者，这些参与者至少在三个活动中使用了这些漏洞。”根据谷歌的分析，购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这些发现与CitizenLab于2021年12月发布的关于Cytrox雇佣间谍软件的报告一致，当时其研究人员在逃亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。Nour的手机也感染了NSO Group的Pegasus间谍软件，根据 CitizenLab 的评估，这两种工具由两个不同的政府客户操作。 这些活动中使用的五个以前未知的0-day漏洞包括： Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android中的 CVE-2021-1048 威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击： 活动 #1 -从Chrome 重定向到 SBrowser (CVE-2021-38000) 活动 #2 – Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976） 活动 #3 – 完整的 Android 0day漏洞利用链（CVE-2021-38003、CVE-2021-1048） 谷歌TAG分析师表示，“这三个活动都通过电子邮件向目标Android用户提供了模仿 URL 缩短服务的一次性链接。但它们是有限制的，根据我们的评估，活动目标数量每次都是几十个用户。当目标用户单击后，该链接会将目标重定向到攻击者拥有的域，该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接失效，则用户被直接重定向到合法网站。”这种攻击技术也被用于记者和其他一些被警告说是政府支持的攻击目标的谷歌用户。在这些活动中，攻击者首先安装了带有 RAT功能的Android Alien银行木马，用于加载Predator Android植入程序，并允许录制音频、添加 CA 证书和隐藏应用程序。 该报告是2021年7月对当年在Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0day漏洞的分析的后续报告。正如 Google TAG 研究人员透露的那样，与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击西欧国家政府官员的 iOS 设备。谷歌TAG 周四补充说：“TAG正在积极跟踪30多家向政府支持的参与者出售漏洞或监视设备的供应商，这些供应商的复杂程度和公开曝光程度各不相同。” 转自 Freebuf，原文链接：https://www.freebuf.com/news/333988.html 封面来源于网络，如有侵权请联系删除