스파이웨어 그룹 칸디루: 디블스텅크 멀웨어로 중동 기자 타겟

[post-views]
7월 25, 2022 · 3 분 읽기
스파이웨어 그룹 칸디루: 디블스텅크 멀웨어로 중동 기자 타겟

DevilsTongue이라고 불리는 스파이웨어가 기자와 중동의 언론 자유 운동가들에게 많은 문제를 일으키고 있습니다. 특히 레바논에 기반을 둔 이들에게 말입니다. 적들은 이번 달 초 구글이 패치한 CVE-2022-2294로 지정된 크롬 제로데이를 악용하여 쉘코드를 실행하고 권한을 상승시켜 침해된 장치의 메모리상 파일 시스템 권한을 획득합니다. is causing a fair share of trouble for journalists and free speech advocates in the Middle East, especially those Lebanon-based. Adversaries exploit a Chrome zero-day assigned CVE-2022-2294 that Google patched earlier this month to achieve shellcode execution, elevate privileges, and gain file-system permissions on the breached device’s memory.

연구원들은 Candiru로 알려진 위협 행위자가 적법한 웹사이트와 피싱으로 홍보된 가짜 웹사이트를 모두 활용했다는 것을 발견했습니다. 피해자가 취해야 할 유일한 행동은 임의의 크로미움 기반 브라우저에서 무기화된 사이트를 여는 것이었습니다.

DevilsTongue 멀웨어 감지

조직을 새로운 DevilsTongue 멀웨어 샘플로부터 능동적으로 방어하기 위해, 일류 위협 현상금 개발자인 Kyaw Pyiyt Htet 은 Candiru 캠페인에서 DevilsTongue의 파일 생성 이벤트를 감지할 수 있는 고유하고 맥락이 풍부한 Sigma 규칙을 시기적절하게 발표했습니다:

관련 파일 이벤트 감지를 통한 의심스러운 DevilsTongue 스파이웨어 활동

이 감지는 다음의 SIEM, EDR & XDR 보안 및 분석 플랫폼에 사용 가능합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, 그리고 AWS OpenSearch, 및 Snowflake. 또한, Sigma 규칙MITRE ATT&CK® 프레임워크 v.10에 정렬되어 있으며, 사용자 실행 기술(T1204)로 표현된 실행 전술을 다루고 있습니다.

유망한 위협 헌터는 SOC Prime의 위협 현상금 프로그램에 귀중한 자산이 될 수 있으며, 여기에서 그들은 개인 브랜드를 만들고 600명 이상의 숙련된 프리랜서 감지 엔지니어들과 협력하여 협업적 사이버 방어에 기여할 수 있습니다.

등록된 사용자는 감지 및 헌트 버튼을 클릭하여 DevilsTongue 스파이웨어와 관련된 모든 감지 콘텐츠에 접근할 수 있습니다. 조직의 사이버 보안 태세 개선을 위해 노력하는 위협 헌터, 감지 엔지니어 및 기타 정보 보안 실무자는 위협 컨텍스트 탐색: 초기화되지 않은 접근입니다.

감지 및 헌트 위협 컨텍스트 탐색

Candiru의 스파이웨어 분석

안티바이러스 회사인 Avast 의 보안 연구원들은 이스라엘 감시 회사 Candiru에 의해 개발된 DevilsTongue 스파이웨어로 인한 공격 급증을 보고했습니다. 이 공격은 2022년 3월 팔레스타인, 예멘, 터키, 레바논에서 언론사 직원을 대상으로 기록되었습니다.

당국은 Candiru(기존에는 Sourgum, Grindavik 및 Saito Tech로 알려짐)는 정부 고객에게 DevilsTongue 스파이웨어를 판매하는 해커 고용 회사라고 주장합니다. 악명 높은 페가수스 스파이웨어(NSO 그룹) 개발과 관련된 엔지니어가 이 스파이웨어 판매업체의 설립자라고 여겨지고 있습니다. 이 회사는 2014년에 설립되었지만 2019년 우즈베키스탄에서 반체제 인사 및 언론 자유 옹호자를 겨냥한 공격으로 보안 레이더에 처음 포착되었습니다. 이 회사는 10여 개국 이상에서 100명 이상의 기자 및 반체제 인사를 타겟으로 삼았습니다.

최신 캠페인에서 적들은 7월 4일에 패치된 CVE-2022-2294 크로미움 오픈 소스 소프트웨어(OSS) 취약점을 사용했습니다. 목표가 확보되면 적들은 피해자의 컴퓨터에 DevilsTongue 스파이웨어를 전달하기 위해 발판을 마련합니다. 목표는 데이터, 즉 사진, 문자 메시지 및 통화 기록을 실시간으로 훔치고 침해된 장치의 위치를 추적하는 것입니다.

효율적인 감지를 위해 신흥 및 기존 위협에 대비하여 세계 최초의 Detection as Code 플랫폼을 활용하세요. 네트워크를 통과하는 위협에 대해 더 나은 가시성을 확보하십시오. SOC Prime의 최첨단 감지 솔루션을 사용하십시오.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스