< p class = "meta"> Av Charlie Osborne för Zero Day | 30 september 2021 | Ämne: Säkerhet
En ny undersökning av hur Pegasus spionprogram används för att övervaka medborgerliga rättighetsbyråer, journalister och statliga personer världen över missbrukas i en ny våg av cyberattacker.
Pegasus är ett övervakningssystem som erbjuds av NSO -gruppen. Medan den annonserades som programvara för att bekämpa brottslighet och terrorism, ledde en undersökning av spionprogrammet till anklagelser om att den används mot oskyldiga, inklusive människorättsaktivister, politiska aktivister, advokater, journalister och politiker över hela världen.
Den israeliska NSO-gruppen förnekade undersökningsresultaten, utförda av Amnesty International, Forbidden Stories och många medier.
Apple har sedan dess korrigerat en nolldagars sårbarhet som Pegasus använde, en upptäckt gjord tillsammans med Citizen Lab.
Nu försöker cyberkriminella som inte är anslutna till Pegasus att dra nytta av den fördömande rapporten genom att lova individer ett sätt att 'skydda' sig mot sådan övervakning – men i stället distribuerar de sina egna varumärken för skadlig kod.
På torsdagen sa forskare från Cisco Talos att hotaktörer maskerar sig som Amnesty International och har skapat en falsk domän som är utformad för att efterlikna organisationens legitima webbplats.
Detta pekar på ett “antivirus” -verktyg, “AVPegasus”, som lovar att skydda datorer från spionprogrammet.
Cisco Talos
Men enligt Talos -forskarna Vitor Ventura och Arnaud Zobec innehåller programvaran Sarwent Remote Access Trojan (RAT).
Domänerna som är associerade med kampanjen är amnestyinternationalantipegasus [.] Com, amnestyvspegasus [.] Com och antipegasusamnesty [.] Com.
Sarwent, som skrevs i Delphi, installerar en bakdörr på maskiner när den körs och kan också utnyttja ett fjärrskrivbordsprotokoll (RDP) för att ansluta till en angriparkontrollerad kommando-och-kontroll (C2) -server.
Skadlig programvara försöker exfiltrera referenser och kan också ladda ner och köra ytterligare skadliga nyttolaster.
Storbritannien, USA, Ryssland, Indien, Ukraina, Tjeckien, Rumänien och Colombia är de mest riktade länderna hittills. Talos tror att cyberattacker bakom denna kampanj är en rysk talare som har drivit andra Sarwent-baserade attacker under 2021.
“Kampanjen riktar sig till personer som kan vara oroliga för att de är riktade av Pegasus spionprogram”, säger Talos. “Denna inriktning väcker frågor om eventuellt statligt engagemang, men det finns otillräcklig information tillgänglig för Talos för att göra några beslut där. Det är möjligt att detta helt enkelt är en ekonomiskt motiverad aktör som vill utnyttja rubriker för att få ny tillgång.”
Tidigare och relaterad täckning
NSO Groups Pegasus -spionprogram som används mot journalister, politiska aktivister över hela världen
WhatsApp -chef säger att regeringstjänstemän, amerikanska allierade riktade mot Pegasus spionprogram och FBI inleder utredning av Pegasus spionprogram leverantör över amerikanska medborgarhackar
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 