Groupe de logiciels espions Candiru : cibler des journalistes au Moyen-Orient avec le malware DevilsTongue

[post-views]
juillet 25, 2022 · 4 min de lecture
Groupe de logiciels espions Candiru : cibler des journalistes au Moyen-Orient avec le malware DevilsTongue

Logiciel espion baptisé DevilsTongue pose de sérieux problèmes aux journalistes et aux défenseurs de la liberté d’expression au Moyen-Orient, notamment ceux basés au Liban. Les adversaires exploitent une vulnérabilité zero-day de Chrome assignée à CVE-2022-2294 que Google a corrigée plus tôt ce mois-ci pour exécuter du shellcode, élever les privilèges et obtenir des permissions du système de fichiers sur la mémoire de l’appareil compromis.

Les chercheurs ont découvert que l’acteur de menace connu sous le nom de Candiru a utilisé à la fois des sites Web légitimes compromis et des faux, promus via des campagnes de spear phishing. La seule action requise du côté des victimes était d’ouvrir le site armé dans n’importe quel navigateur basé sur Chromium.

Détecter le malware DevilsTongue

Pour défendre de manière proactive les organisations contre les nouveaux échantillons de logiciels malveillants DevilsTongue, un développeur de Threat Bounty de premier plan Kyaw Pyiyt Htet a publié en temps opportun une règle Sigma unique, enrichie de contexte, permettant de détecter les événements de création de fichiers de DevilsTongue dans les campagnes de Candiru :

Activité suspecte de spyware DevilsTongue par détection d’événements de fichiers associés

Cette détection est disponible pour les plateformes de sécurité et d’analytique SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch, et Snowflake. De plus, la règle Sigma est également alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution représentée par la technique d’Exécution de l’utilisateur (T1204).

Les chasseurs de menaces prometteurs constituent un atout précieux pour le programme Threat Bounty de SOC Prime, où ils peuvent créer une marque personnelle et contribuer à la défense cyber collaborative avec plus de 600 ingénieurs en détection free-lance compétents.

Les utilisateurs inscrits peuvent accéder à tout le contenu de détection associé à DevilsTongue spyware en cliquant sur le bouton Détecter & Chasser . Les chasseurs de menaces, ingénieurs en détection et autres praticiens de la sécurité de l’information s’efforçant d’améliorer la position en matière de cybersécurité de l’organisation peuvent parcourir une vaste bibliothèque d’éléments de contenu de détection enrichis en contexte de menace pertinent en appuyant sur Explorer le contexte des menaces : l’accès n’est pas basé sur l’inscription.

Détecter & Chasser Explorer le contexte des menaces

Analyse du spyware de Candiru

Les chercheurs en sécurité de la société antivirus Avast ont publié un rapport sur une montée en flèche des attaques avec le logiciel espion DevilsTongue, développé par la société de surveillance israélienne Candiru. Les attaques ont été enregistrées en mars 2022 en Palestine, au Yémen, en Turquie et au Liban, ciblant les travailleurs d’agence de presse.

Les autorités affirment que Candiru (également connu sous le nom de Sourgum, Grindavik et Saito Tech – les noms ont changé au fil du temps) est une entreprise de hacking sur demande qui vend le logiciel espion DevilsTongue à des clients gouvernementaux. Les ingénieurs liés au développement du célèbre logiciel espion Pegasus (NSO Group) sont considérés comme les fondateurs de ce fournisseur de logiciels espions. L’entreprise a été fondée en 2014 mais a été repérée pour la première fois sur le radar de sécurité en 2019, alimentant les attaques contre les dissidents et les défenseurs de la liberté d’expression en Ouzbékistan. La société a ciblé plus de 100 journalistes et dissidents dans dix pays.

Dans la dernière campagne, les adversaires ont utilisé la vulnérabilité OSS Chromium CVE-2022-2294, corrigée le 4 juillet. Lorsque la cible est acquise, les adversaires établissent un point d’appui sur l’ordinateur de la victime pour diffuser le logiciel espion DevilsTongue. L’objectif est de voler des données, par exemple, des photos, des messages texte et l’historique des journaux d’appels et de suivre la localisation d’un appareil compromis en temps réel.

Pour obtenir une détection efficace contre les menaces nouvelles et existantes, tirez parti des avantages de la première plateforme Detection as Code au monde. Obtenez une meilleure visibilité sur les menaces traversant votre réseau avec les solutions de détection de pointe de SOC Prime .

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA 7 min de lecture Dernières Menaces Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA by Veronika Telychko Intelligence sur les menaces basée sur l’IA 18 min de lecture SIEM & EDR Intelligence sur les menaces basée sur l’IA by Veronika Telychko CyberLock, Lucky_Gh0$t et Détection Numero : Les Hackers Arment des Installateurs d’Outils IA Fausse dans des Attaques Rançongiciels et Malware 8 min de lecture Dernières Menaces CyberLock, Lucky_Gh0$t et Détection Numero : Les Hackers Arment des Installateurs d’Outils IA Fausse dans des Attaques Rançongiciels et Malware by Veronika Telychko
Toutes les actualités