Gruppo di Spyware Candiru: Prende di Mira Giornalisti in Medio Oriente con il Malware DevilsTongue

[post-views]
Luglio 25, 2022 · 4 min di lettura
Gruppo di Spyware Candiru: Prende di Mira Giornalisti in Medio Oriente con il Malware DevilsTongue

Lo spyware soprannominato DevilsTongue sta causando non pochi problemi ai giornalisti e agli attivisti per la libertà di parola in Medio Oriente, specialmente a quelli con sede in Libano. Gli avversari sfruttano un Chrome zero-day assegnato CVE-2022-2294 che Google ha corretto all’inizio di questo mese per ottenere l’esecuzione di shellcode, elevare i privilegi e ottenere permessi al file system sulla memoria del dispositivo compromesso.

I ricercatori hanno scoperto che l’attore delle minacce noto come Candiru ha sfruttato sia siti web legittimi compromessi che falsi, promossi tramite spear phishing. L’unica azione richiesta dalla parte delle vittime era aprire il sito armato in qualsiasi browser basato su Chromium.

Rileva Malware DevilsTongue

Per difendere proattivamente le organizzazioni dai nuovi campioni di malware DevilsTongue, uno sviluppatore di Threat Bounty di primo livello Kyaw Pyiyt Htet ha rilasciato tempestivamente una regola Sigma unica e arricchita di contesto, che consente di rilevare gli eventi di creazione di file di DevilsTongue nelle campagne di Candiru:

Attività sospetta di spyware DevilsTongue tramite rilevamento di eventi di file associati

Questo rilevamento è disponibile per i seguenti sistemi di sicurezza e analisi SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch, e Snowflake. Inoltre, la regola Sigma è anche allineata al framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione rappresentata dalla tecnica di Esecuzione dell’Utente (T1204).

I promettenti cacciatori di minacce sarebbero un bene prezioso per il Threat Bounty Programdi SOC Prime, dove possono creare un marchio personale e contribuire alla difesa informatica collaborativa insieme ad altri 600+ abili ingegneri di rilevamento freelance.

Gli utenti registrati possono accedere a tutti i contenuti di rilevamento associati allo spyware DevilsTongue cliccando il pulsante Detect & Hunt . I cacciatori di minacce, gli ingegneri di rilevamento e altri professionisti della sicurezza informatica che cercano di migliorare la postura di sicurezza informatica dell’organizzazione possono sfogliare una vasta libreria di contenuti di rilevamento arricchiti con contesto di minacce pertinenti premendo il Esplora Contesto Minacce: l’accesso non è basato sulla registrazione.

Detect & Hunt Esplora Contesto Minacce

Analisi dello Spyware di Candiru

I ricercatori della sicurezza dell’azienda antivirus Avast hanno pubblicato un rapporto su un aumento degli attacchi con lo spyware DevilsTongue, sviluppato dall’azienda di sorveglianza israeliana Candiru. Gli attacchi sono stati registrati a marzo 2022 in Palestina, Yemen, Turchia e Libano, prendendo di mira i lavoratori delle agenzie di stampa.

Le autorità affermano che Candiru (noto anche come Sourgum, Grindavik, e Saito Tech – i nomi sono cambiati nel corso della sua esistenza) è un’azienda di hacking a noleggio che vende il software spia DevilsTongue a clienti governativi. Gli ingegneri legati allo sviluppo del famigerato spyware Pegasus (NSO Group) sono considerati i fondatori di questo fornitore di spyware. L’azienda è stata fondata nel 2014 ma è apparsa per la prima volta nel radar della sicurezza nel 2019, alimentando gli attacchi contro i dissidenti e i difensori della libertà di parola in Uzbekistan. L’azienda ha preso di mira più di 100 giornalisti e dissidenti in dieci paesi.

Nell’ultima campagna, gli avversari hanno utilizzato la vulnerabilità CVE-2022-2294 del software open source Chromium, corretta il 4 luglio. Quando il bersaglio è acquisito, gli avversari stabiliscono un punto d’appoggio sul computer della vittima per distribuire lo spyware DevilsTongue. L’obiettivo è rubare dati, ad esempio foto, messaggi di testo e cronologia delle chiamate e tracciare la posizione di un dispositivo compromesso in tempo reale.

Per ottenere un rilevamento efficiente delle minacce emergenti ed esistenti, sfrutta i vantaggi della prima piattaforma Detection as Code al mondo. Ottieni una migliore visibilità sulle minacce che passano attraverso la tua rete con le soluzioni di rilevamento all’avanguardia di SOC Prime. cutting-edge detection solutions.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA 6 min di lettura Ultime Minacce Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA by Veronika Telychko Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware 8 min di lettura Ultime Minacce CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware by Veronika Telychko
Tutte le notizie