Detección de Spyware DevilsTongue
Tabla de contenidos:
La empresa israelí de software espía Candiru suministró exploits de día cero a actores respaldados por la nación a nivel mundial, según revelaron Microsoft y Citizen Lab. Según el análisis, Candiru aprovechó errores de día cero previamente desconocidos en Windows y Chrome para potenciar su software espía de alta gama apodado DevilsTongue. Aunque DevilsTongue se comercializó como un “software mercenario” que facilita operaciones de vigilancia para agencias gubernamentales, fue identificado como una herramienta principal utilizada por actores APT en sus operaciones maliciosas en Uzbekistán, Arabia Saudita, los Emiratos Árabes Unidos (EAU), Singapur y Catar.
¿Quién es Candiru?
Candiru (también conocido como Sourgum) es una empresa encubierta de software espía basada en Israel que suministra oficialmente herramientas de vigilancia a clientes gubernamentales. Según la investigación en profundidad de Citizen Lab, el software espía de Candiru permite la infección y el monitoreo secreto en una variedad de dispositivos, incluidos móviles, computadoras de escritorio y cuentas en la nube.
La empresa fue establecida en 2014 y ha cambiado de nombre múltiples veces para mantenerse en la sombra y evitar el escrutinio público. Actualmente, el proveedor se llama a sí mismo Saito Tech Ltd, sin embargo, todavía se sigue identificando como Candiru, que es el más conocido de sus nombres.
Las herramientas y exploits suministrados por Candiru fueron detectados por primera vez en 2019 durante una campaña de hacking gubernamental en Uzbekistán. La empresa estaba proporcionando secretamente sus paquetes de exploits para potenciar los ataques contra periodistas, representantes gubernamentales y disidentes.
La infraestructura de Candiru ha estado creciendo desde entonces. Actualmente, Citizen Labs identifica más de 750 páginas web comprometidas vinculadas al ecosistema malicioso, incluidas muchas dominios disfrazados como organizaciones internacionales de defensa o proveedores de medios.
The la investigación de Microsoft dice que, además de las campañas de vigilancia gubernamental, los actores APT también aprovecharon el infame software espía. De hecho, más de 100 víctimas fueron identificadas en el Medio Oriente, Europa y Asia, siendo la mayoría activistas de derechos humanos, disidentes y políticos.
¿Qué es DevilsTongue?
DevilsTongue es un producto principal de Candiru descrito como una sofisticada cepa maliciosa multifuncional codificada en C y C++. El análisis de la cadena de ataque muestra que el software espía normalmente se distribuye con la ayuda de vulnerabilidades presentes en Windows y Google Chrome. En particular, expertos de Microsoft identificaron que Candiru aprovechó dos fallas de escalada de privilegios (CVE-2021-31979, CVE-2021-33771) presentes en el sistema operativo basado en Windows NT (NTOS). La explotación exitosa de estos agujeros de seguridad permitía a los usuarios de DevilsTongue elevar sus privilegios en el sistema comprometido sin ser capturados por los entornos de prueba y obtener ejecución de código a nivel de kernel. Ambas vulnerabilidades fueron investigadas y parcheadas por el proveedor en julio de 2021. Además, los investigadores rastrean la explotación de CVE-2021-33742 en el motor de scripting MSHTML de Internet Explorer, el cual también ha sido parcheado.
La investigación de Google confirma que los responsables de Candiru también utilizaron vulnerabilidades de día cero en Chrome para aumentar sus capacidades de ataque. En particular, CVE-2021-21166 and CVE-2021-30551 en Chrome se encadenaron con los problemas de Windows descritos anteriormente para instalar secretamente el software espía en la instancia y elevar los privilegios a administrador. Notablemente, los fallos explotados para este propósito ya han sido parcheados por Google en sus últimas versiones de Chrome.
Una vez infectado, DevilsTongue es capaz de realizar una variedad de acciones maliciosas, incluyendo robar datos secretos, descifrar y robar mensajes de Signal, extraer cookies o contraseñas guardadas de LSASS y de los navegadores principales. El software espía también puede utilizar cookies de plataformas populares de redes sociales y clientes de correo electrónico para recopilar información sensible sobre sus víctimas, leer mensajes privados y capturar fotos. Además, DevilsTongue podría enviar mensajes desde el nombre de la víctima en algunas de estas plataformas, aparentando ser absolutamente legítimo.
Detección de Ataques de DevilsTongue
Para prevenir una posible compromiso por el malware DevilsTongue, se recomienda abrir enlaces de fuentes desconocidas o no confiables en un entorno aislado.
El desarrollador de Threat Bounty de SOC Prime, Sittikorn ha publicado una regla comunitaria Sigma que detecta las vulnerabilidades de día cero en Windows recientemente parcheadas, CVE-2021-31979 y CVE-2021-33771, asociadas con los ataques de DevilsTongue. La regla comunitaria Sigma Sourgum CVE-2021-31979 y CVE-2021-33771 exploits está disponible para los usuarios de Threat Detection Marketplace tras el registro.
La detección está disponible para las siguientes tecnologías: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Detección de Dominios Candiru la regla de Onur Atali ayuda a detectar dominios específicos del país asociados con el ataque DevilTounge. La detección está disponible para las siguientes tecnologías: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
Además, Threat Detection Marketplace indexa a SOURGUM Actor IOC – Julio 2021 regla desarrollada por Microsoft Azure Sentinel. Esta regla identifica una coincidencia en los IOC relacionados con el actor Candiru (Sourgum).
Todas las detecciones están mapeadas a la metodología MITRE ATT&CK abordando las tácticas de Acceso a Credenciales y la técnica de Phishing (t1566) y Explotación para Ejecución en Cliente (t1203).
Regístrese en el Threat Detection Marketplace para acceder a más de 100K ítems de contenido SOC calificados, multiplataforma y multiherramienta, adaptados a más de 20 tecnologías líderes del mercado de SIEM, EDR, NTDR y XDR. ¿Entusiasta de participar en actividades de caza de amenazas y enriquecer nuestra biblioteca con nuevas reglas Sigma? ¡Únase a nuestro Programa Threat Bounty para un futuro más seguro!
