Spyware-Gruppe Candiru: Zielgerichtete Angriffe auf Journalisten im Nahen Osten mit DevilsTongue-Malware

[post-views]
Juli 25, 2022 · 3 min zu lesen
Spyware-Gruppe Candiru: Zielgerichtete Angriffe auf Journalisten im Nahen Osten mit DevilsTongue-Malware

Spyware namens DevilsTongue verursacht erhebliche Probleme für Journalisten und Verfechter der freien Meinungsäußerung im Nahen Osten, insbesondere für diejenigen, die in Libanon ansässig sind. Gegner nutzen eine Chrome-Zero-Day-Lücke, die unter CVE-2022-2294 bekannt und von Google Anfang dieses Monats gepatcht wurde, um Shellcode-Ausführung zu erreichen, Privilegien zu eskalieren und Dateisystemberechtigungen im Speicher des infizierten Geräts zu erlangen.

Forscher entdeckten, dass der Bedrohungsakteur Candiru sowohl kompromittierte legitime als auch gefälschte Websites nutzte, die über Spear-Phishing verbreitet wurden. Die einzige erforderliche Aktion auf Seiten der Opfer bestand darin, die waffenfähige Seite in einem Chromium-basierten Browser zu öffnen.

Erkennen von DevilsTongue-Malware

Um Organisationen proaktiv gegen neue DevilsTongue-Malware-Muster zu verteidigen, hat ein erstklassiger Threat-Bounty-Entwickler Kyaw Pyiyt Htet eine einzigartige, kontextreiche Sigma-Regel rechtzeitig veröffentlicht, die es ermöglicht, die Ereignisse zur Dateierstellung von DevilsTongue in Candiru-Kampagnen zu erkennen:

Verdächtige DevilsTongue-Spyware-Aktivität durch Erkennung von zugehörigen Datei-Ereignissen

Diese Erkennung ist verfügbar für die folgenden SIEM-, EDR- und XDR-Sicherheits- und Analyseplattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch sowie Snowflake. Darüber hinaus ist die Sigma-Regel auch mit dem MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die Execution-Taktik, die durch die User Execution-Technik (T1204) dargestellt wird.

Vielversprechende Threat Hunter würden einen wertvollen Beitrag zum Threat Bounty Programvon SOC Prime leisten, wo sie eine persönliche Marke schaffen und zusammen mit über 600 anderen erfahrenen Freelance-Detection-Engineers zur kollaborativen Cyberabwehr beitragen können.

Registrierte Benutzer können auf alle Erkennungsinhalte, die mit DevilsTongue-Spyware in Verbindung stehen, zugreifen, indem sie auf die Schaltfläche Detect & Hunt klicken. Threat Hunter, Detection Engineers und andere InfoSec-Fachleute, die bestrebt sind, die Cybersicherheitslage der Organisation zu verbessern, können eine umfangreiche Bibliothek von Erkennungsinhalten durchsuchen, die mit relevantem Bedrohungskontext erweitert wurden, indem sie den Bereich Bedrohungskontext Erkunden: der Zugriff ist nicht registrierungsbasiert.

Detect & Hunt Bedrohungskontext Erkunden

Candiru’s Spyware-Analyse

Sicherheitsforscher vom Antiviren-Unternehmen Avast veröffentlichten einen Bericht über einen Anstieg von Angriffen mit der DevilsTongue-Spyware, entwickelt von der israelischen Überwachungsfirma Candiru. Die Angriffe wurden im März 2022 in Palästina, Jemen, Türkei und Libanon registriert und richteten sich gegen Mitarbeiter von Nachrichtenagenturen.

Behörden behaupten, dass Candiru (auch bekannt als Sourgum, Grindavik und Saito Tech – die Namen änderten sich im Laufe der Zeit) eine Hacking-for-Hire-Firma ist, die die Spionagesoftware DevilsTongue an Regierungskunden verkauft. Ingenieure, die mit der Entwicklung der berüchtigten Pegasus-Spyware (NSO Group) in Verbindung gebracht werden, gelten als die Gründer dieses Spyware-Anbieters. Das Unternehmen wurde 2014 gegründet, geriet jedoch erstmals 2019 mit Angriffen auf Dissidenten und Verteidiger der Meinungsfreiheit in Usbekistan ins Blickfeld der Sicherheitsexperten. Das Unternehmen hat über 100 Journalisten und Dissidenten in mehr als zehn Ländern ins Visier genommen.

In der neuesten Kampagne nutzten die Gegner die Chromium Open Source Software (OSS) Schwachstelle CVE-2022-2294, die am 4. Juli gepatcht wurde. Sobald das Ziel erfasst ist, verschaffen sich die Gegner Zugriff auf den Computer des Opfers, um die DevilsTongue-Spyware auszuliefern. Das Ziel ist es, Daten, wie z.B. Bilder, Textmitteilungen und Anrufprotokolle zu stehlen und den Standort des infizierten Geräts in Echtzeit zu verfolgen.

Um eine effiziente Erkennung für aufkommende und bestehende Bedrohungen zu erreichen, nutzen Sie die Vorteile der weltweit ersten Detection as Code-Plattform. Erhalten Sie bessere Einblicke in Bedrohungen, die Ihr Netzwerk passieren, mit den fortschrittlichen Erkennungslösungen von SOC Prime. cutting-edge detection solutions.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn 5 min zu lesen Neueste Bedrohungen Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn by Veronika Telychko AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein 7 min zu lesen Neueste Bedrohungen CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein by Veronika Telychko
Alle Nachrichten