Жертвами атак стали лидер оппозиции и журналист из Египта
Команда ИБ-специалистов Threat Analysis Group (TAG) сообщила, что разработчиком шпионского ПО является группировка из Северной Македонии Cytrox. О Cytrox известно только то, что в июне 2021 года своей вредоносной программой Predator группа атаковала египетского политика Аймана Нура и журналиста, пожелавшего остаться анонимным.
По словам TAG, Cytrox использовала 4 уязвимости нулевого дня Chrome ( CVE-2021-37973 , CVE-2021-37976 , CVE-2021-38000 и CVE-2021-38003 ) и 1 ошибку нулевого дня Android ( CVE-2021-1048 ) по крайней мере в трех кампаниях, которые предположительно проводились от имени различных правительств. Также Cytrox воспользовалась несколькими известными n-day уязвимостями, для которых уже были доступны исправления.
Видимо, группировка Cytrox не собирается останавливаться и продолжит атаки. Это плохая новость для компаний Google, Apple и Microsoft, которым необходимо защищать продукты, используемые сотнями миллионов людей. Эксперты TAG обеспокоены невероятным прогрессом частных компаний, достигших уровня правительственных организаций в области разработки систем для наблюдения и шпионского ПО.
«Семь из девяти 0-day уязвимостей в 2021 году были обнаружены частными компаниями, после чего информация о них продавалась напрямую государственным структурам. TAG активно отслеживает более 30 частных компаний, продающих эксплоиты и шпионское ПО правительственным организациям», - написано в сообщении Google.