DevilsTongue Spyware-Erkennung
Inhaltsverzeichnis:
Das israelische Spyware-Unternehmen Candiru lieferte Zero-Day-Exploits an staatlich unterstützte Akteure weltweit, wie Microsoft und Citizen Lab enthüllten. Laut der Analyse nutzte Candiru zuvor unbekannte Zero-Day-Schwachstellen in Windows und Chrome, um seine hochwertige Spyware namens DevilsTongue zu betreiben. Obwohl DevilsTongue als „Söldnersoftware“ vermarktet wurde, die Überwachungsoperationen für Regierungsbehörden erleichtert, wurde es als primäres Werkzeug identifiziert, das von APT-Akteuren in ihren bösartigen Operationen in Usbekistan, Saudi-Arabien, den Vereinigten Arabischen Emiraten (VAE), Singapur und Katar verwendet wird.
Wer ist Candiru?
Candiru (auch bekannt als Sourgum) ist ein geheimes, in Israel ansässiges Spyware-Unternehmen, das offiziell Überwachungstools an Regierungskunden liefert. Laut der eingehenden Untersuchung von Citizen Labermöglicht die Spyware von Candiru Infektionen und geheime Überwachung auf einer Vielzahl von Geräten, einschließlich mobiler Geräte, Desktops und Cloud-Konten.
Das Unternehmen wurde bereits 2014 gegründet und hat mehrmals seinen Namen geändert, um im Schatten zu bleiben und öffentliche Untersuchungen zu vermeiden. Derzeit nennt sich der Anbieter Saito Tech Ltd, wird jedoch immer noch als Candiru verfolgt, der am bekanntesten seiner Namen ist.
Die von Candiru bereitgestellten Tools und Exploits wurden erstmals 2019 während einer Regierungs-Hacking-Kampagne in Usbekistan entdeckt. Das Unternehmen lieferte heimlich seine Exploit-Pakete, um die Angriffe auf Journalisten, Regierungsvertreter und Dissidenten zu unterstützen.
Seitdem hat sich die Infrastruktur von Candiru weiterentwickelt. Derzeit identifiziert Citizen Labs über 750 kompromittierte Webseiten, die mit dem bösartigen Ökosystem verbunden sind, darunter viele Domains, die als internationale Interessenorganisationen oder Medienanbieter getarnt sind.
The Forschung von Microsoft sagt aus, dass abgesehen von Regierungskampagnen auch APT-Akteure die berüchtigte Spyware nutzten. Tatsächlich wurden über 100 Opfer im Nahen Osten, in Europa und Asien identifiziert, die meisten von ihnen sind Menschenrechtsaktivisten, Dissidenten und Politiker.
Was ist DevilsTongue?
DevilsTongue ist ein primäres Produkt von Candiru, das als hochentwickelter multifunktionaler bösartiger Strang beschrieben wird, der in C und C++ kodiert ist. Die Analyse der Angriffskette zeigt, dass die Spyware typischerweise mit Hilfe von Schwachstellen in Windows und Google Chrome ausgeliefert wird. Insbesondere identifizierten Microsoft-Experten, dass Candiru zwei Privilegieneskalationslücken nutzte (CVE-2021-31979, CVE-2021-33771), die in Windows NT-basierten Betriebssystemen (NTOS) vorhanden waren. Der erfolgreiche Exploit dieser Sicherheitslücken ermöglichte es DevilsTongue-Benutzern, ihre Privilegien auf dem kompromittierten System zu erhöhen, ohne von Sandboxes erfasst zu werden, und Kernel-Code auszuführen. Beide Schwachstellen wurden untersucht und vom Anbieter im Juli 2021 gepatcht. Auch Forscher verfolgen die Ausnutzung von CVE-2021-33742 in der MSHTML-Skript-Engine von Internet Explorer, die ebenfalls gepatcht wurde.
Die Forschung von Google bestätigt, dass Candiru-Betreiber auch Chrome-Zero-Days nutzten, um ihre Angriffsfähigkeiten zu verbessern. Insbesondere CVE-2021-21166 and CVE-2021-30551 in Chrome wurden mit zuvor beschriebenen Windows-Problemen kombiniert, um die Spyware heimlich auf der Instanz zu installieren und die Privilegien auf Admin zu erhöhen. Bemerkenswerterweise wurden die für diesen Zweck ausgenutzten Lücken bereits von Google in den neuesten Chrome-Versionen gepatcht.
Nach der Infektion ist DevilsTongue in der Lage, eine Vielzahl von bösartigen Aktionen auszuführen, darunter das Stehlen geheimer Daten, das Entschlüsseln und Stehlen von Signal-Nachrichten, das Extrahieren von Cookies oder gespeicherten Passwörtern aus LSASS und großen Browsern. Die Spyware kann auch Cookies für beliebte soziale Netzwerke und E-Mail-Clients nutzen, um sensible Informationen über ihre Opfer zu sammeln, private Nachrichten zu lesen und Fotos zu ergreifen. Darüber hinaus könnte DevilsTongue Nachrichten vom Opfer auf einigen dieser Plattformen senden, die absolut legitim erscheinen.
Erkennung von DevilsTongue-Angriffen
Um eine mögliche Kompromittierung durch die DevilsTongue-Malware zu verhindern, wird empfohlen, Links von unbekannten oder nicht vertrauenswürdigen Quellen in einer isolierten Umgebung zu öffnen.
SOC Primes Threat Bounty-Entwickler Sittikorn hat eine Community-Sigma-Regel veröffentlicht, die die kürzlich gepatchten Windows-Zero-Day-Schwachstellen CVE-2021-31979 und CVE-2021-33771 erkennt, die mit den DevilsTongue-Angriffen verbunden sind. Die Community-Sigma-Regel Sourgum CVE-2021-31979 und CVE-2021-33771 Exploits steht nach Registrierung für Benutzer von Threat Detection Marketplace zur Verfügung.
Die Erkennung ist für die folgenden Technologien verfügbar: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Candiru Domains Erkennung Regel von Onur Atali hilft, länderspezifische Domains zu erkennen, die mit dem DevilTounge-Angriff verbunden sind. Die Erkennung ist für die folgenden Technologien verfügbar: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
Auch der Threat Detection Marketplace indiziert a SOURGUM Actor IOC – Juli 2021 Regel, entwickelt von Microsoft Azure Sentinel. Diese Regel identifiziert eine Übereinstimmung mit IOC’s, die mit dem Candiru (Sourgum) Akteur in Verbindung stehen.
Alle Erkennungen sind nach der MITRE ATT&CK Methodologie abgebildet, die die Taktiken für Credential Access und die Phishing-Technik (t1566) sowie Exploitation for Client Execution (t1203) Technik adressiert.
Melden Sie sich beim Threat Detection Marketplace an, um Zugriff auf über 100.000 qualifizierte, plattformübergreifende SOC-Inhalte zu erhalten, die maßgeschneidert für 20+ marktführende SIEM-, EDR-, NTDR- und XDR-Technologien sind. Möchten Sie an Bedrohungsjagdaktivitäten teilnehmen und unsere Bibliothek mit neuen Sigma-Regeln bereichern? Treten Sie unserem Threat Bounty Program für eine sichere Zukunft bei!
