Détection de Spyware DevilsTongue
Table des matières :
La société israélienne de logiciels espions Candiru a fourni des exploits zero-day à des acteurs soutenus par des États à l’échelle mondiale, ont révélé Microsoft et Citizen Lab. Selon l’analyse, Candiru a exploité des vulnérabilités zero-day jusqu’alors inconnues dans Windows et Chrome pour alimenter son logiciel espion haut de gamme baptisé DevilsTongue. Bien que DevilsTongue ait été commercialisé comme un “logiciel mercenaire” facilitant les opérations de surveillance pour les agences gouvernementales, il a été identifié comme un outil principal utilisé par des acteurs APT dans leurs opérations malveillantes à travers l’Ouzbékistan, l’Arabie Saoudite, les Émirats Arabes Unis (UAE), Singapour et le Qatar.
Qui est Candiru ?
Candiru (également connu sous le nom de Sourgum) est une entreprise israélienne spécialisée dans les logiciels espions qui fournit officiellement des outils de surveillance à des clients gouvernementaux. Selon l’ enquête approfondie de Citizen Lab, le logiciel espion de Candiru permet une infection et une surveillance secrète à travers une variété d’appareils, y compris les mobiles, les ordinateurs de bureau et les comptes cloud.
La société a été créée en 2014 et a subi plusieurs changements de nom pour rester dans l’ombre et éviter l’examen public. Actuellement, le fournisseur se nomme Saito Tech Ltd, mais il est toujours suivi sous le nom de Candiru, qui est le plus connu de ses noms.
Les outils et exploits fournis par Candiru ont été détectés pour la première fois en 2019 lors d’une campagne de piratage gouvernemental en Ouzbékistan. L’entreprise fournissait secrètement ses packages d’exploits pour alimenter les attaques contre des journalistes, des représentants du gouvernement et des dissidents.
Depuis lors, l’infrastructure de Candiru est en pleine croissance. Actuellement, Citizen Labs identifie plus de 750 pages web compromises liées à cet écosystème malveillant, y compris de nombreux domaines déguisés en organisations de plaidoyer international ou en fournisseurs de médias.
The les recherches de Microsoft indiquent qu’en plus des campagnes de surveillance gouvernementales, des acteurs APT ont également exploité ce logiciel espion notoire. En fait, plus de 100 victimes ont été identifiées à travers le Moyen-Orient, l’Europe et l’Asie, la plupart étant des militants des droits de l’homme, des dissidents et des politiciens.
Qu’est-ce que DevilsTongue ?
DevilsTongue est un produit principal de Candiru décrit comme une souche malveillante sophistiquée et multifonctionnelle codée en C et C++. L’analyse de la chaîne d’attaque montre que le logiciel espion est généralement livré avec l’aide de vulnérabilités présentes dans Windows et Google Chrome. En particulier, les experts de Microsoft ont identifié que Candiru a exploité deux failles d’escalade de privilèges (CVE-2021-31979, CVE-2021-33771) présentes dans le système d’exploitation basé sur Windows NT (NTOS). L’exploitation réussie de ces failles de sécurité permettait aux utilisateurs de DevilsTongue d’élever leurs privilèges sur le système compromis sans être capturés par les bacs à sable et d’obtenir l’exécution du code du noyau. Les deux vulnérabilités ont été étudiées et corrigées par le fournisseur en juillet 2021. De plus, les chercheurs suivent l’exploitation de CVE-2021-33742 dans le moteur de script MSHTML d’Internet Explorer, qui a également été corrigé.
La recherche de Google confirme que les mainteneurs de Candiru ont également utilisé des zero-days de Chrome pour augmenter ses capacités d’attaque. En particulier, CVE-2021-21166 and CVE-2021-30551 dans Chrome ont été enchaînés avec les problèmes Windows précédemment décrits pour installer secrètement le logiciel espion sur l’instance et élever les privilèges à admin. Notamment, les failles exploitées à cette fin ont déjà été corrigées par Google dans les dernières versions de Chrome.
Après infection, DevilsTongue est capable d’effectuer une variété d’actions malveillantes, y compris voler des données secrètes, décrypter et voler des messages Signal, extraire des cookies ou des mots de passe enregistrés à partir de LSASS et des principaux navigateurs. Le logiciel espion peut également exploiter les cookies pour les plateformes de réseaux sociaux et les clients de messagerie pour collecter des informations sensibles sur ses victimes, lire des messages privés et récupérer des photos. De plus, DevilsTongue pourrait envoyer des messages à partir du nom de la victime sur certaines de ces plateformes, apparaissant comme totalement légitime.
Détection des Attaques DevilsTongue
Pour prévenir un éventuel compromis par le malware DevilsTongue, il est recommandé d’ouvrir les liens provenant de sources inconnues ou non fiables dans un environnement isolé.
Le développeur de SOC Prime’s Threat Bounty Sittikorn a publié une règle communautaire Sigma qui détecte les vulnérabilités zero-day récemment corrigées dans Windows, les exploits CVE-2021-31979 et CVE-2021-33771 associés aux attaques DevilsTongue. La règle communautaire Sigma exploits Sourgum CVE-2021-31979 et CVE-2021-33771 est disponible pour les utilisateurs de Threat Detection Marketplace après inscription.
La détection est disponible pour les technologies suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Détection des Domaines de Candiru règle par Onur Atali aide à détecter des domaines spécifiques au pays associés à l’attaque DevilTounge. La détection est disponible pour les technologies suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
De plus, le Threat Detection Marketplace indexe a la règle SOURGUM Actor IOC – juillet 2021 développée par Microsoft Azure Sentinel. Cette règle identifie une correspondance parmi les IOC liés à l’acteur Candiru (Sourgum).
Toutes les détections sont mappées à la méthodologie MITRE ATT&CK en abordant les tactiques d’Accès aux Identifiants et la technique de Phishing (t1566) et Exploitation pour l’Exécution Client (t1203).
Inscrivez-vous à Threat Detection Marketplace pour atteindre plus de 100K de contenus SOC qualifiés, multi-fournisseurs et multi-outils, adaptés à plus de 20 technologies SIEM, EDR, NTDR et XDR leaders du marché. Désireux de participer à des activités de chasse aux menaces et d’enrichir notre bibliothèque avec de nouvelles règles Sigma ? Rejoignez notre Programme Threat Bounty pour un avenir plus sûr !
