DevilsTongue スパイウェア検出
目次:
イスラエルのスパイウェア企業Candiruは、国家支援のアクターにゼロデイエクスプロイトを世界的に供給していたと、MicrosoftとCitizen Labが明らかにしました。解析によれば、CandiruはWindowsとChromeの未知のゼロデイバグを利用して、高度なスパイウェア「DevilsTongue」の動力源として使用していました。DevilsTongueは政府機関の監視操作を支援する「傭兵ソフトウェア」として売り出されましたが、ウズベキスタン、サウジアラビア、アラブ首長国連邦(UAE)、シンガポール、カタールにおけるAPTアクターの悪意ある操作で主要なツールとして使用されていたことが判明しました。
Candiruとは何か?
Candiru(別名Sourgum)は、正式に政府の顧客に監視ツールを供給している、イスラエルを拠点とする秘密のスパイウェア企業です。詳細な Citizen Labの調査によれば、Candiruのスパイウェアは、モバイル、デスクトップ、クラウドアカウントを含むさまざまなデバイスに感染し、秘密の監視を可能にします。
この企業は2014年に設立され、影を潜めて世間の注目を避けるために何度も社名を変更してきました。現在、企業はSaito Tech Ltdを名乗っていますが、最もよく知られている名前としてCandiruとして追跡されています。
Candiruが供給したツールとエクスプロイトは、2019年にウズベキスタンでの政府ハッキングキャンペーン中に初めて検出されました。同社は、ジャーナリスト、政府関係者、反体制派を攻撃するためにエクスプロイトパッケージを密かに供給していました。
Candiruのインフラはそれ以降成長を続けています。現在、 Citizen Labsは 750以上の悪意あるエコシステムにリンクしたウェブページを特定しており、その中には国際的なアドボカシー団体やメディアベンダーを装った多くのドメインが含まれています。
The Microsoftの調査 によれば、政府の監視キャンペーン以外にもAPTアクターが悪名高いスパイウェアを利用していました。実際、100人以上の被害者が中東、ヨーロッパ、アジアで特定され、その多くが人権活動家、反体制派、政治家でした。
DevilsTongueとは何か?
DevilsTongueは、CとC++でコード化された高度な多機能の悪意あるスパイウェアストレインとして説明されています。攻撃のキルチェーンの解析によれば、このスパイウェアは通常、WindowsとGoogle Chromeに存在する脆弱性を利用して配信されます。特に、Microsoftの専門家はCandiruが2つの特権昇格の脆弱性(CVE-2021-31979, CVE-2021-33771)をWindows NTベースのオペレーティングシステム(NTOS)で利用していたことを特定しました。これらのセキュリティホールを成功裏にエクスプロイトすることで、DevilsTongueの使用者は、サンドボックスに捕捉されずに、危殆化したシステム上で特権を昇格させ、カーネルコード実行を実現できました。これらの脆弱性は2021年7月にベンダーによって調査され修正されました。また、研究者はInternet ExplorerのMSHTMLスクリプティングエンジンでの CVE-2021-33742 のエクスプロイトも追跡しており、こちらも修正されています。
Googleの調査によれば、Candiruのメンテナンス担当も攻撃能力を向上させるためにChromeゼロデイを使用していました。特に、 CVE-2021-21166 and CVE-2021-30551 は、既に説明したWindowsの問題と組み合わされ、インスタンス上にスパイウェアをひそかにインストールし、管理者の権限昇格を実現しました。特筆すべきは、この目的でエクスプロイトされた欠陥は、最新のChromeリリースでGoogleによって既に修正されていることです。
感染すると、DevilsTongueは機密データの盗難、Signalメッセージの復号と盗難、LSASSや主要なブラウザからのクッキーや保存されたパスワードの抽出など、さまざまな悪意ある行動を実行することができます。また、スパイウェアは、人気のソーシャルネットワーキングプラットフォームやメールクライアントのクッキーを利用して、被害者についての機微な情報を収集し、プライベートメッセージを読み込み、写真を取得します。さらに、DevilsTongueはこれらのプラットフォームのいくつかで被害者の名前を使ってメッセージを送信することもでき、完全に正当なもののように見えます。
DevilsTongue攻撃の検出
DevilsTongueマルウェアによる潜在的な妥協を防ぐためには、未知または信頼できないソースのリンクをアイソレートされた環境で開くことが推奨されます。
SOC PrimeのThreat Bounty開発者 Sittikorn は、最近修正されたWindowsゼロデイの脆弱性CVE-2021-31979とCVE-2021-33771の悪用を特定するコミュニティSigmaルールを発表しました。このコミュニティSigmaルール Sourgum CVE-2021-31979とCVE-2021-33771の悪用 は、Threat Detection Marketplaceのユーザーに登録後に利用可能です。
検出は次のテクノロジー向けに利用可能です:Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Securonix。
The Candiruドメインの検出 オンルール Onur Atali は、DevilsTounge攻撃に関連する国ごとのドメインを検出するのに役立ちます。検出は次のテクノロジー向けに利用可能です:Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Qualys、Securonix。
また、Threat Detection Marketplace は、 a SOURGUMアクターIOC – 2021年7月 ルール(Microsoft Azure Sentinelによって開発)をインデックスします。 このルールは、Candiru(Sourgum)アクターに関連するIOCの一致を識別します。
すべての検出は、 MITRE ATT&CKメソドロジー にマップされており、Credential Access戦術とPhishingテクニック(t1566)およびClient Execution(t1203)テクニックのExploitationを扱っています。
Threat Detection Marketplaceにサインアップして、20以上の市場を先導するSIEM、EDR、NTDR、およびXDRテクノロジーに合わせた10万以上の認定されたクロスベンダーおよびクロスツールのSOCコンテンツアイテムにアクセスしてください。脅威ハンティング活動に参加し、私たちのライブラリを新しいSigmaルールで豊かにすることに熱心ですか?より安全な未来のためにThreat Bounty Programに参加しましょう!
