スパイウェアグループCandiru:中東のジャーナリストをDevilsTongueマルウェアで標的にする

[post-views]
7月 25, 2022 · 6 分で読めます
スパイウェアグループCandiru:中東のジャーナリストをDevilsTongueマルウェアで標的にする

スパイウェア「 DevilsTongue 」は、中東のジャーナリストや言論の自由を擁護する人々、特にレバノンに拠点を置く人々にとって厄介な問題を引き起こしています。攻撃者は、Googleが今月初めにパッチを適用したChromeのゼロデイ(CVE-2022-2294)を利用して、シェルコードの実行、特権の昇格、侵害されたデバイスのメモリに対するファイルシステム権限の取得を達成しています。

研究者は、Candiruとして知られる脅威者が、正当なWebサイトを妥協したものと偽のものの両方を利用し、スピアフィッシングを通じて宣伝していることを発見しました。被害者側に必要な唯一の行動は、武装されたサイトを任意のChromiumベースのブラウザで開くことだけでした。

DevilsTongueマルウェアの検出

新しいDevilsTongueマルウェアサンプルに対して組織を積極的に防御するために、トップティアのThreat Bounty開発者である Kyaw Pyiyt Htet は、CandiruキャンペーンにおけるDevilsTongueのファイル作成イベントを検出するためのユニークでコンテキストに富んだSigmaルールをタイムリーにリリースしました。

関連するファイルイベントの検出による疑わしいDevilsTongueスパイウェア活動

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearch、SnowflakeなどのSIEM、EDR、XDRのセキュリティおよび分析プラットフォームで利用可能です。さらに、 Sigmaルール はまた、 MITRE ATT&CK®フレームワーク v.10と整合し、ユーザー実行技術(T1204)が表す実行戦術に対応しています。

有望な脅威ハンターは、SOC Primeの Threat Bounty Programへの貴重な資産となるでしょう。ここで、個人ブランドを構築し、他の600を超える熟練したフリーランスの検出エンジニアともに協力してサイバー防御に貢献できます。

登録ユーザーは、「 Detect & Hunt 」ボタンをクリックして、DevilsTongueスパイウェアに関連するすべての検出コンテンツにアクセスできます。組織のサイバーセキュリティ姿勢を改善しようとする脅威ハンター、検出エンジニア、およびその他の情報セキュリティ実務者は、関連する脅威のコンテキストで拡張された検出コンテンツアイテムの膨大なライブラリを「 Explore Threat Context: 」をヒットすることで閲覧できます。

Detect & Hunt Explore Threat Context

Candiruのスパイウェア分析

ウイルス対策会社 Avast のセキュリティ研究者は、イスラエルの監視会社Candiruが開発したDevilsTongueスパイウェアによる攻撃の急増に関するレポートを公開しました。 この攻撃は、2022年3月にパレスチナ、イエメン、トルコ、およびレバノンで登録され、ニュース代理店の職員を対象としました。

当局は、Candiru(Sourgum、Grindavik、およびSaito Techとしても知られており、その存在を通じて名前が変わった)が、DevilsTongueスパイウェアを政府顧客に販売するハッキング専門企業であると主張しています。悪名高いPegasusスパイウェア(NSOグループ)の開発に関連する技術者たちがこのスパイウェアベンダーの創設者と考えられています。同社は2014年に設立されましたが、2019年に初めてセキュリティレーダーに捉えられ、ウズベキスタンにおける反体制派と言論の自由擁護者に対する攻撃を推進しました。この会社は、10か国以上で100人を超えるジャーナリストと反体制派を狙いました。

最新のキャンペーンでは、敵対者は2022年7月4日にパッチが適用されたCVE-2022-2294 Chromium OSSの脆弱性を利用しました。ターゲットが取得されると、敵対者はDevilsTongueスパイウェアを届けるために被害者のコンピューターに足場を築きます。目標は、データの窃取、例えば画像、テキストメッセージ、通話履歴の盗難、リアルタイムで侵害されたデバイスの位置追跡です。

新興および既存の脅威に対して効率的な検出を達成するために、世界初の Detection as Codeプラットフォームの利点を活用しましょう。 SOC Primeの 最先端の検出ソリューションでネットワークを通過する脅威に対するより良い可視性を取得します。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース