來自 Citizen Lab 的一份新報告稱,該組織發現了一個類似 Pegasus 的以 iPhone 為目標的間諜軟件工具,名為“Reign”,已出售給政府,可用於監控目標個人的活動。據說該間諜軟件類似於 NSO Group 的“Pegasus”間諜軟件,後者在過去曾多次被用來監視記者、活動家和政治對手。

Citizen Lab 表示,根據對 Microsoft Threat Intelligence 提供給他們的樣本的分析,Reign 間諜工具由以色列公司 QuaDream 提供,允許政府監視目標對手。

QuaDream 已經存在多年,致力於開發高級間諜軟件產品。該公司的客戶似乎包括世界各地的幾個政府。

該組織表示,它已經在北美、中亞、東南亞、歐洲和中東發現了至少五個有針對性的間諜軟件案例。間諜軟件攻擊的受害者包括記者、政治反對派人士,甚至還有一名非政府組織工作人員。

間諜軟件通過“Endofdays”iOS 14 零點擊漏洞部署在目標設備上,該漏洞利用發送給受害者的隱形 iCloud 日曆邀請。一旦安裝在設備上,間諜軟件允許操作員訪問多個 iOS 和 iPhone 功能,類似於 NGO Group 的 Pegasus 所做的方式。

Reign 可訪問的功能包括:

通話錄音 iPhone 麥克風訪問 iPhone 攝像頭訪問 從鑰匙串中滲漏和刪除項目 iCloud 2FA 密碼的生成 搜索設備上的文件 跟踪位置iPhone 刪除間諜軟件痕蹟的能力,以盡量減少檢測。

雖然該間諜軟件擁有能夠刪除間諜軟件痕蹟的自毀功能,但該功能實際上幫助研究人員識別用戶何時受到監視工具的攻擊。

Citizen Lab 在威脅情報界的聯繫人提供了一個鏈接到 QuaDream 間諜軟件的網絡指示器。從 2021 年末到 2023 年初,Citizen Lab 能夠識別出 600 多台服務器和 200 個域名,這些域名似乎與 QuaDream 的間諜軟件有關。用於間諜軟件應用程序的一鍵式瀏覽器攻擊。

Citizen Lab 認為 QuaDream 系統正在以下國家/地區運行:

捷克共和國 匈牙利 加納 保加利亞 羅馬尼亞 以色列 墨西哥 阿拉伯聯合酋長國 (UAE) 烏茲別克斯坦 新加坡

Citizen Lab 與 Microsoft 分享了其結果Threat Intelligence,該小組執行了額外的掃描以識別鏈接到 QuaDream 的域名。 Microsoft 威脅情報已在他們的報告 中公佈了其結果。

Citizen Lab 表示,QuaDream 集團仍在運作,據信與 NSO 集團有著“共同的根源”。據說該組織還與其他以色列商業間諜軟件供應商以及以色列政府情報機構有聯繫。

QuaDream 由一位前以色列軍官和前 NSO 員工共同創立。該小組設法在很長一段時間內遠離聚光燈。

此信息首次出現在 Mactrast.com

Categories: IT Info