Grupo de Spyware Candiru: Ataca a Periodistas en el Medio Oriente con el Malware DevilsTongue

[post-views]
julio 25, 2022 · 4 min de lectura
Grupo de Spyware Candiru: Ataca a Periodistas en el Medio Oriente con el Malware DevilsTongue

Spyware llamado DevilsTongue está causando bastantes problemas para periodistas y defensores de la libertad de expresión en el Medio Oriente, especialmente aquellos radicados en Líbano. Los adversarios explotan un zero-day de Chrome asignado CVE-2022-2294 que Google parcheó a principios de este mes para lograr la ejecución de shellcode, elevar privilegios y obtener permisos del sistema de archivos en la memoria del dispositivo comprometido.

Los investigadores descubrieron que el actor de amenaza conocido como Candiru aprovechĂł tanto sitios web legĂ­timos comprometidos como sitios falsos, promovidos mediante spear phishing. La Ăşnica acciĂłn requerida por parte de las vĂ­ctimas era abrir el sitio armado en cualquier navegador basado en Chromium.

Detectar malware DevilsTongue

Para defender proactivamente a las organizaciones contra nuevas muestras de malware DevilsTongue, un desarrollador de Threat Bounty de primera categoría Kyaw Pyiyt Htet ha lanzado oportunamente una regla Sigma única y enriquecida en contexto, que permite detectar los eventos de creación de archivos de DevilsTongue en campañas de Candiru:

Actividad sospechosa de spyware DevilsTongue mediante la detecciĂłn de eventos de archivos asociados

Esta detección está disponible para las siguientes plataformas de seguridad y análisis SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, y AWS OpenSearch, y Snowflake. Además, la regla Sigma también está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución representada por la técnica de Ejecución de Usuario (T1204).

Los prometedores cazadores de amenazas serían un recurso valioso para el Programa Threat Bounty de SOC Prime, donde pueden crear una marca personal y contribuir a la defensa cibernética colaborativa junto con más de 600 ingenieros de detección freelance altamente capacitados.

Los usuarios registrados pueden acceder a todo el contenido de detección asociado con el spyware DevilsTongue haciendo clic en el botón Detect & Hunt . Los cazadores de amenazas, ingenieros de detección y otros practicantes de InfoSec que se esfuerzan por mejorar la postura de ciberseguridad de la organización pueden navegar por una vasta biblioteca de elementos de contenido de detección mejorados con contexto relevante de amenazas pulsando el Explorar Contexto de Amenaza: el acceso no está basado en registro.

botĂłn Detect & Hunt Explorar Contexto de Amenaza

Análisis de Spyware de Candiru

Investigadores de seguridad de la empresa de antivirus Avast publicaron un informe sobre un aumento en los ataques con el spyware DevilsTongue, desarrollado por la firma de vigilancia israelĂ­ Candiru. Los ataques se registraron en marzo de 2022 en Palestina, Yemen, TurquĂ­a y LĂ­bano, apuntando a trabajadores de agencias de noticias.

Las autoridades afirman que Candiru (también conocido como Sourgum, Grindavik y Saito Tech, nombres que cambiaron a lo largo de su existencia) es una empresa de hacking por encargo que vende el software de espionaje DevilsTongue a clientes gubernamentales. Se considera que los ingenieros vinculados al desarrollo del notorio spyware Pegasus (NSO Group) son los fundadores de este proveedor de spyware. La firma se estableció en 2014 pero apareció en el radar de seguridad por primera vez en 2019, impulsando ataques contra disidentes y defensores de la libertad de expresión en Uzbekistán. La empresa ha apuntado a más de 100 periodistas y disidentes en más de diez países.

En la última campaña, los adversarios usaron la vulnerabilidad de Software de Código Abierto de Chromium (OSS) CVE-2022-2294, parcheada el 4 de julio. Cuando se adquiere el objetivo, los adversarios establecen una base en la computadora de la víctima para entregar el spyware DevilsTongue. El objetivo es robar datos, por ejemplo, fotos, mensajes de texto y el historial de registros de llamadas, y rastrear la ubicación de un dispositivo comprometido en tiempo real.

Para lograr una detecciĂłn eficiente para amenazas emergentes y existentes, aproveche los beneficios de la primera plataforma de DetecciĂłn como CĂłdigodel mundo. Obtenga mejor visibilidad de las amenazas que pasan por su red con las soluciones de detecciĂłn de vanguardia de SOC Prime. las soluciones de detecciĂłn de vanguardia de SOC Prime.

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

DetecciĂłn de Malware Koske: Nueva Amenaza Linux Generada con IA en CirculaciĂłn 6 min de lectura Ăšltimas Amenazas DetecciĂłn de Malware Koske: Nueva Amenaza Linux Generada con IA en CirculaciĂłn by Veronika Telychko Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko CyberLock, Lucky_Gh0$t y la DetecciĂłn de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware 7 min de lectura Ăšltimas Amenazas CyberLock, Lucky_Gh0$t y la DetecciĂłn de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware by Veronika Telychko
Todas las noticias