恶意软件|研究人员发现可能用于 Predator 间谍软件的新基础设施

网络安全研究人员已发现至少 11 个国家/地区可能被称为 Predator (掠夺者)的商业间谍软件运营商使用的新基础设施。

通过分析可能用于传播间谍软件的域名,Recorded Future 的 Insikt Group 分析师发现了安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯和特立尼达和多巴哥的潜在 Predator 客户。

微信图片_20240304100944

在 Recorded Future 进行分析之前,尚未发现博茨瓦纳和菲律宾境内的 Predator 客户。

Predator 是由以色列间谍软件联盟Intellexa开发的复杂间谍软件。它至少从 2019 年就开始部署,感染了 Android 和 iPhone 设备。一个由记者、活动家和网络专家组成的联盟此前在一个名为“掠夺者文件”的项目中检查了间谍软件。

Predator 可以访问设备的麦克风、摄像头以及所有存储或传输的数据,包括联系人、消息、照片和视频。它具有高度侵入性,并且在目标设备上留下的痕迹非常有限,这使得调查具有挑战性。

Insikt Group 尚未确定最新 Predator 活动的具体受害者或目标。

研究人员表示:“由于 Predator 间谍软件通常通过漏洞利用传递到单个受害者设备,因此在不直接访问这些设备的情况下识别目标是一项挑战。”

从欺骗开始

在最新的分析中,Insikt Group 确定了一个新的多级 Predator 交付网络,包括交付服务器、上游服务器和很可能与 Predator 客户相关的基础设施。

交付服务器可能用于设备利用和初始访问。这些服务器通常托管一个域,欺骗目标可能感兴趣的特定实体的网站。其中一些域名冒充合法的新闻媒体、天气预报网站或特定公司,例如房地产企业。

例如,域名 krisha-kz.com 和 kollesa.com 似乎是在欺骗哈萨克斯坦的一家房地产公司和一家汽车销售平台。该国利用NSO Group、FinFisher和RCS Lab等网络间谍软件供应商来针对活动人士和政客的历史进一步表明,该国很可能是 Predator 的客户。

研究人员表示,Insikt Group 发现的域名中有一半以上与哈萨克斯坦有关,这表明间谍软件活动的水平可能会有所提高。

研究人员发现的 Predator 网络的其他部分包括交付服务器上游的虚拟专用服务器。它们可能用于匿名流量并降低将交付服务器与特定 Predator 客户关联的可能性。

报告称,匿名网络掩盖了运营商的位置和身份,使得攻击的归属变得更加困难。

这些上游服务器与静态国内互联网服务提供商地址进行通信,这些地址可能与 Predator 客户相关。

研究人员表示:“根据我们的调查结果,以及历史上这些国家/地区的组织几乎全部都是 Predator 客户的事实,这些组织很可能会继续使用 Predator 间谍软件。”

不仅仅是执法

Predator 和 Pegasus 等间谍软件技术作为用于反恐和执法的工具进行销售。然而,它们不断被滥用来针对公民社会,包括记者、政治家和活动家。

例如,去年 9 月,一名埃及反对派政客的手机成为了“Predator”攻击的目标,数字取证组织“公民实验室”的研究人员认为,该活动是在埃及政府知情的情况下进行的。

其他 Predator 受害者包括希腊记者Thanasis Koukasis、前 Meta 员工Artemis Seaford和欧洲议会议员Nikos Androulakis。

Predator 的客户通常针对那些被认为具有重要情报价值的知名人士。据 Insikt Group 称,这是因为部署成本很高,每次感染都要付费。

研究人员表示:“在严重犯罪和反恐之外,国内使用 Predator 等雇佣兵间谍软件会给最终目标、其雇主以及开展此类活动的实体带来隐私、法律或人身安全风险。”

转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/lo3n6FrZ6uPyT-iVsN0RGQ

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容