DevilsTongue 스파이웨어 탐지
목차:
이스라엘의 스파이웨어 업체 Candiru는 국가 지원 배우들에게 제로 데이 익스플로잇을 전세계적으로 공급했다고 Microsoft와 Citizen Lab이 밝혔습니다. 분석에 따르면 Candiru는 이전에는 알려지지 않았던 Windows와 Chrome의 제로 데이 버그를 이용해 DevilsTongue이라는 고급 스파이웨어를 구동했습니다. DevilsTongue은 정부 기관의 감시 작업을 지원하는 ‘용병 소프트웨어’로 판매되었지만, 우즈베키스탄, 사우디아라비아, 아랍에미리트(UAE), 싱가포르, 카타르 등에서 APT 배우들이 악의적인 작업에 사용하는 주요 도구로 확인되었습니다.
Candiru는 누구인가?
Candiru(또는 Sourgum으로도 알려짐)는 정부 고객에게 감시 도구를 공식적으로 공급하는 이스라엘 기반의 비밀 스파이웨어 회사입니다. 깊이 있는 Citizen Lab의 조사에 따르면, Candiru의 스파이웨어는 모바일, 데스크탑 및 클라우드 계정을 포함한 다양한 디바이스에서 감염 및 비밀 모니터링을 가능하게 합니다.
이 회사는 2014년에 설립되었고, 대중의 감시를 피하고 그림자에 머물기 위해 여러 차례 이름을 변경했습니다. 현재 해당 공급업체는 Saito Tech Ltd라고 불리고 있지만, 여전히 가장 잘 알려진 이름인 Candiru로 추적되고 있습니다.
Candiru가 공급한 도구와 익스플로잇은 2019년 우즈베키스탄에서의 정부 해킹 캠페인 중 처음으로 발견되었습니다. 이 회사는 은밀히 익스플로잇 패키지를 제공하여 기자, 정부 대표 및 반체제 인사들을 공격하는 데 사용되었습니다.
이후 Candiru의 인프라는 계속 성장해 왔습니다. 현재, Citizen Labs는 국제 옹호 단체나 미디어 공급업체로 위장한 많은 도메인을 포함한 악성 생태계와 연결된 750개 이상의 손상된 웹 페이지를 식별했습니다.
The Microsoft의 연구에서는 정부 감시 캠페인 외에도 APT 배우들이 악명 높은 스파이웨어를 활용했다고 합니다. 사실, 중동, 유럽 및 아시아에 걸쳐 100명 이상의 피해자가 확인되었으며, 대부분 인권 운동가, 반체제 인사 및 정치인이었습니다.
DevilsTongue란 무엇인가?
DevilsTongue는 C와 C++로 코딩된 정교한 다기능 악성 스트레인으로, Candiru의 주제품으로 설명됩니다. 공격 체인의 분석에서는 스파이웨어가 일반적으로 Windows 및 Google Chrome의 취약점을 이용해 전달되는 것으로 나타났습니다. 특히 Microsoft 전문가들은 Candiru가 두 개의 권한 상승 결함(CVE-2021-31979, CVE-2021-33771)을 Windows NT 기반 운영 체제(NTOS)에 존재하는 취약점을 통해 스파이웨어를 감염 시스템에 은밀히 설치하고 권한을 관리자 권한으로 상승시켰음을 밝혀냈습니다. 이 취약점들은 2021년 7월에 공급업체에 의해 조사 및 패치되었습니다. 또한 연구자들은 CVE-2021-33742 Internet Explorer의 MSHTML 스크립팅 엔진에서의 익스플로잇을 추적하며, 이 역시 패치되었습니다.
Google의 연구에 따르면, Candiru 관리자는 또한 Chrome 제로 데이를 사용하여 공격 능력을 강화했습니다. 특히, CVE-2021-21166 and CVE-2021-30551 Chrome의 취약점이 이전에 설명된 Windows 문제와 연결되어 스파이웨어를 인스턴스에 은밀히 설치하고 권한을 관리자 권한으로 상승시켰습니다. 이 목적을 위해 익스플로잇된 결함들은 이미 Google에 의해 최신 Chrome 릴리즈에서 패치되었습니다.
감염되면 DevilsTongue은 비밀 데이터 절도, Signal 메시지 해독 및 절도, LSASS와 주요 브라우저에서 쿠키나 저장된 암호 추출 등의 다양한 악의적인 활동을 수행할 수 있습니다. 스파이웨어는 또한 인기 있는 소셜 네트워킹 플랫폼 및 이메일 클라이언트의 쿠키를 활용하여 피해자에 대한 민감한 정보를 수집하고, 사적 메시지를 읽으며, 사진을 수집할 수 있습니다. 게다가, DevilsTongue은 이러한 플랫폼 중 일부에서 피해자의 이름으로 메시지를 보내는 등 절대적으로 합법적인 것처럼 나타날 수 있습니다.
DevilsTongue 공격 탐지
DevilsTongue 멀웨어에 의해 가능한 타협을 방지하기 위해, 알 수 없거나 신뢰할 수 없는 출처의 링크를 격리된 환경에서 열 것을 권장합니다.
SOC Prime의 Threat Bounty 개발자 Sittikorn 은(는) DevilsTongue 공격과 관련된 CVE-2021-31979 및 CVE-2021-33771 익스플로잇을 감지하는 커뮤니티 Sigma 규칙을 발표했습니다. 커뮤니티 Sigma 규칙 Sourgum CVE-2021-31979 및 CVE-2021-33771 익스플로잇 은 Threat Detection Marketplace 사용자에게 등록 시 제공됩니다.
탐지는 다음 기술에 대해 사용할 수 있습니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Candiru 도메인 탐지 규칙은 DevilTounge 공격과 관련된 국가별 도메인을 탐지하는 데 도움이 됩니다. 탐지는 다음 기술에 대해 사용할 수 있습니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix. 규칙은 DevilTounge 공격과 관련된 국가별 도메인을 탐지하는 데 도움이 됩니다. 탐지는 다음 기술에 대해 사용할 수 있습니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix. helps to detect country-specific domains associated with the DevilTounge attack. The detection is available for the following technologies: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
또한, Threat Detection Marketplace 는 a Microsoft Azure Sentinel이 개발한 SOURGUM Actor IOC – 2021년 7월 규칙을 색인화합니다. 이 규칙은 Candiru(Sourgum) 배우와 관련된 IOC 전반에 걸쳐 일치를 식별합니다.
모든 탐지는 MITRE ATT&CK 방법론에 매핑되어 자격 증명 액세스 전술과 피싱 기법(t1566) 및 클라이언트 실행을 위한 익스플로잇(t1203) 기법을 다룹니다.
Threat Detection Marketplace에 가입하여 20개 이상의 시장 선도 SIEM, EDR, NTDR 및 XDR 기술에 맞춘 100,000개 이상의 검증된, 크로스 벤더 및 크로스 도구 SOC 콘텐츠 항목에 도달하십시오. 위협 사냥 활동에 참여하고 새로운 Sigma 규칙으로 도서관을 풍부하게 하는 데 열정적인가요? 더 안전한 미래를 위해 저희의 Threat Bounty Program에 가입하세요!
