Rilevamento dello Spyware DevilsTongue
Indice:
La società israeliana di spyware Candiru ha fornito exploit zero-day ad attori sostenuti dalla nazione globalmente, come rivelato da Microsoft e Citizen Lab. Secondo l’analisi, Candiru ha sfruttato vulnerabilità zero-day precedentemente sconosciute in Windows e Chrome per potenziare il suo spyware di fascia alta chiamato DevilsTongue. Sebbene DevilsTongue sia stato commercializzato come “software mercenario” facilitando operazioni di sorveglianza per agenzie governative, è stato identificato come uno strumento principale utilizzato da attori APT nelle loro operazioni malevole in Uzbekistan, Arabia Saudita, Emirati Arabi Uniti (EAU), Singapore e Qatar.
Chi è Candiru?
Candiru (noto anche come Sourgum) è una società di spyware con sede in Israele che ufficialmente fornisce strumenti di sorveglianza a clienti governativi. Secondo l’approfondita indagine di Citizen Lab, lo spyware di Candiru consente infezioni e monitoraggio segreto su una varietà di dispositivi, inclusi account mobili, desktop e cloud.
L’azienda è stata fondata nel 2014 e ha subìto più cambiamenti di nome per rimanere nell’ombra e evitare il controllo pubblico. Attualmente, il fornitore si chiama Saito Tech Ltd, tuttavia è ancora tracciato come Candiru, il nome più noto.
Gli strumenti e gli exploit forniti da Candiru sono stati rilevati per la prima volta nel 2019 durante una campagna di hacking governativa in Uzbekistan. L’azienda forniva segretamente i suoi pacchetti di exploit per alimentare gli attacchi contro giornalisti, rappresentanti governativi e dissidenti.
L’infrastruttura di Candiru è cresciuta da allora. Attualmente, Citizen Labs identifica oltre 750 pagine web compromesse collegate all’ecosistema maligno, comprese molteplici domini camuffati da organizzazioni di difesa internazionali o fornitori di media.
The la ricerca di Microsoft afferma che oltre alle campagne di sorveglianza governativa, anche attori APT hanno sfruttato il famigerato spyware. Infatti, sono state identificate oltre 100 vittime in tutto il Medio Oriente, Europa e Asia, la maggior parte delle quali attivisti per i diritti umani, dissidenti e politici.
Cos’è DevilsTongue?
DevilsTongue è un prodotto principale di Candiru descritto come un ceppo malevolo multifunzionale sofisticato codificato in C e C++. L’analisi della catena di uccisione dell’attacco mostra che lo spyware viene tipicamente consegnato con l’aiuto di vulnerabilità presenti in Windows e Google Chrome. In particolare, gli esperti Microsoft hanno identificato che Candiru ha sfruttato due falle di escalation dei privilegi (CVE-2021-31979, CVE-2021-33771) presenti nel sistema operativo Windows basato su NT (NTOS). Lo sfruttamento riuscito di questi buchi di sicurezza ha permesso agli utenti di DevilsTongue di elevare i loro privilegi sul sistema compromesso senza essere catturati dai sandbox e ottenere l’esecuzione del codice nel kernel. Entrambe le vulnerabilità sono state investigate e corrette dal fornitore nel luglio 2021. Inoltre, i ricercatori tracciano lo sfruttamento di CVE-2021-33742 nel motore di scripting MSHTML di Internet Explorer, che è stato anch’esso corretto.
La ricerca di Google conferma che i manutentori di Candiru hanno usato anche i zero-day di Chrome per aumentare le sue capacità di attacco. In particolare, CVE-2021-21166 and CVE-2021-30551 in Chrome sono stati concatenati con i problemi di Windows precedentemente descritti per installare segretamente lo spyware sull’istanza ed elevare i privilegi ad admin. Notoriamente, le falle sfruttate per questo scopo sono già state corrette da Google nelle ultime versioni di Chrome.
Al momento dell’infezione, DevilsTongue è in grado di eseguire una varietà di azioni malevole, compreso il furto di dati segreti, la decrittazione e il furto di messaggi di Signal, l’estrazione di cookie o password salvate da LSASS e dai browser principali. Lo spyware può anche sfruttare i cookie per le piattaforme di social networking popolari e i client di posta elettronica per raccogliere informazioni sensibili sulle sue vittime, leggere messaggi privati e rubare foto. Inoltre, DevilsTongue potrebbe inviare messaggi a nome della vittima su alcune di queste piattaforme, apparendo assolutamente legittimo.
Rilevamento degli Attacchi DevilsTongue
Per prevenire un possibile compromesso dal malware DevilsTongue, si raccomanda di aprire i link da fonti sconosciute o non affidabili in un ambiente isolato.
Il Threat Bounty Developer di SOC Prime Sittikorn ha pubblicato una regola Sigma della comunità che individua le recenti vulnerabilità zero-day di Windows CVE-2021-31979 e CVE-2021-33771 associati agli attacchi DevilsTongue. La regola Sigma della comunità Sourgum CVE-2021-31979 e CVE-2021-33771 exploits è disponibile per gli utenti del Threat Detection Marketplace in seguito alla registrazione.
Il rilevamento è disponibile per le seguenti tecnologie: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Rilevamento dei Domini di Candiru regola di Onur Atali aiuta a rilevare domini specifici del paese associati all’attacco DevilTounge. Il rilevamento è disponibile per le seguenti tecnologie: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
Inoltre, il Threat Detection Marketplace indicizza a SOURGUM Actor IOC – Luglio 2021 regola sviluppata da Microsoft Azure Sentinel. Questa regola identifica una corrispondenza relativa agli IOC dell’attore Candiru (Sourgum).
Tutti i rilevamenti sono mappati sulla metodologia MITRE ATT&CK affrontando le tattiche di Accesso alle Credenziali e la tecnica di Phishing (t1566) e la tecnica di Sfruttamento per l’Esecuzione Client (t1203).
Iscriviti al Threat Detection Marketplace per accedere a oltre 100K articoli di contenuto SOC qualificati, cross-vendor e cross-tool, personalizzati per oltre 20+ tecnologie leader del mercato SIEM, EDR, NTDR e XDR. Sei appassionato di partecipare ad attività di threat hunting e arricchire la nostra libreria con nuove regole Sigma? Unisciti al nostro Programma Threat Bounty per un futuro più sicuro!
