< p class = "meta"> Av Charlie Osborne for Zero Day | 30. september 2021 | Tema: Sikkerhet
En nylig undersøkelse av hvordan Pegasus spyware brukes til å overvåke borgerrettighetsbyråer, journalister og regjeringsfigurer over hele verden blir misbrukt i en ny bølge av cyberangrep.
Pegasus er et overvåkingssystem som tilbys av NSO Group. Mens den ble annonsert som programvare for å bekjempe kriminalitet og terrorisme, førte en undersøkelse av spionprogrammet til påstander om at den brukes mot uskyldige, inkludert menneskerettighetsaktivister, politiske aktivister, advokater, journalister og politikere over hele verden.
Den israelske NSO-gruppen nektet funnene av undersøkelsen, utført av Amnesty International, Forbidden Stories og mange medier.
Apple har siden lappet et null-dagers sårbarhet som Pegasus brukte, en oppdagelse gjort sammen med Citizen Lab.
Nå prøver nettkriminelle som ikke er koblet til Pegasus å utnytte den fordømmende rapporten ved å love enkeltpersoner en måte å 'beskytte' seg mot slik overvåking – men i stedet hemmelig distribuerer de sine egne merker av skadelig programvare.
Torsdag sa forskere fra Cisco Talos at trusselaktører utgjør seg som Amnesty International og har opprettet et falskt domene designet for å etterligne organisasjonens legitime nettsted.
Dette peker på et “antivirus” -verktøy, “AVPegasus”, som lover å beskytte PC -er mot spionprogrammer.
Cisco Talos
Men ifølge Talos -forskere Vitor Ventura og Arnaud Zobec inneholder programvaren Sarwent Remote Access Trojan (RAT).
Domenene knyttet til kampanjen er amnestyinternationalantipegasus [.] Com, amnestyvspegasus [.] Com og antipegasusamnesty [.] Com.
Skrevet i Delphi, installerer Sarwent en bakdør på maskiner når den kjøres, og kan også dra nytte av en ekstern desktop-protokoll (RDP) for å koble til en angriperstyrt kommando-og-kontroll (C2) server.
Skadelig programvare prøver å eksfiltrere legitimasjon og kan også laste ned og utføre ytterligere ondsinnet nyttelast.
Storbritannia, USA, Russland, India, Ukraina, Tsjekkia, Romania og Colombia er de mest målrettede landene hittil. Talos mener nettangriperen bak denne kampanjen er en russisk høyttaler som har operert andre Sarwent-baserte angrep i løpet av 2021.
“Kampanjen er rettet mot folk som kan være bekymret for at de er målrettet av Pegasus -spionprogrammet,” sier Talos. “Denne målrettingen reiser spørsmål om mulig statlig involvering, men det er utilstrekkelig informasjon tilgjengelig for Talos for å gjøre noen beslutninger der. Det er mulig at dette ganske enkelt er en økonomisk motivert aktør som ønsker å utnytte overskrifter for å få ny tilgang.”
Tidligere og beslektet dekning
NSO Groups Pegasus -spionprogram som ble brukt mot journalister, politiske aktivister over hele verden, sier WhatsApp -sjefen at regjeringstjenestemenn, amerikanske allierte målrettet av Pegasus -spionprogrammer, og FBI starter etterforskning av Pegasus -spyware leverandør over amerikanske innbyggerhack
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 