Detecção de Spyware DevilsTongue
Índice:
A empresa israelense de spyware Candiru forneceu exploits de dia zero para atores patrocinados por nações globalmente, revelaram a Microsoft e o Citizen Lab. De acordo com a análise, a Candiru aproveitou bugs de dia zero anteriormente desconhecidos no Windows e Chrome para impulsionar seu spyware de alto nível chamado DevilsTongue. Embora o DevilsTongue fosse comercializado como um “software mercenário” que facilitava operações de vigilância para agências governamentais, ele foi identificado como a principal ferramenta usada por atores APT em suas operações maliciosas no Usbequistão, Arábia Saudita, Emirados Árabes Unidos (EAU), Singapura e Catar.
Quem é Candiru?
Candiru (também conhecida como Sourgum) é uma empresa clandestina de spyware baseada em Israel que fornece oficialmente ferramentas de vigilância para clientes governamentais. De acordo com a investigação aprofundada do Citizen Lab, o spyware da Candiru permite infecção e monitoramento secreto em uma variedade de dispositivos, incluindo móveis, desktops e contas em nuvem.
A empresa foi estabelecida em 2014 e passou por várias mudanças de nome para permanecer nas sombras e evitar o escrutínio público. Atualmente, o fornecedor se chama Saito Tech Ltd, no entanto, ainda é rastreada como Candiru, que é o nome mais conhecido.
As ferramentas e exploits fornecidos pela Candiru foram detectados pela primeira vez em 2019, durante uma campanha de hacking governamental no Usbequistão. A empresa estava fornecendo secretamente seus pacotes de exploits para impulsionar os ataques contra jornalistas, representantes do governo e dissidentes.
A infraestrutura da Candiru tem crescido desde então. Atualmente, Citizen Labs identifica mais de 750 páginas da web comprometidas ligadas ao ecossistema malicioso, incluindo muitos domínios disfarçados como organizações de defesa internacional ou fornecedores de mídia.
The pesquisa da Microsoft diz que, além de campanhas de vigilância governamental, atores APT também aproveitaram o notório spyware. Na verdade, mais de 100 vítimas foram identificadas no Oriente Médio, Europa e Ásia, a maioria sendo ativistas de direitos humanos, dissidentes e políticos.
O que é DevilsTongue?
DevilsTongue é um produto principal da Candiru descrito como uma cepa maliciosa multifuncional sofisticada codificada em C e C++. A análise da cadeia de ataque mostra que o spyware é tipicamente entregue com a ajuda de vulnerabilidades presentes no Windows e no Google Chrome. Particularmente, especialistas da Microsoft identificaram que a Candiru se aproveitou de duas falhas de escalonamento de privilégios (CVE-2021-31979, CVE-2021-33771) presentes no sistema operacional baseado em Windows NT (NTOS). A exploração bem-sucedida desses buracos de segurança permitiu aos usuários do DevilsTongue elevar seus privilégios no sistema comprometido sem serem capturados pelas sandboxes e obter execução de código do kernel. Ambas as vulnerabilidades foram investigadas e corrigidas pelo fornecedor em julho de 2021. Além disso, os pesquisadores rastrearam a exploração de CVE-2021-33742 no motor de scripts MSHTML do Internet Explorer, que também foi corrigido.
A pesquisa do Google confirma que os mantenedores da Candiru também usaram zero-days do Chrome para aumentar suas capacidades de ataque. Particularmente, CVE-2021-21166 and CVE-2021-30551 no Chrome foram encadeados com os problemas do Windows descritos anteriormente para instalar secretamente o spyware na instância e elevar privilégios para administrador. Notavelmente, as falhas exploradas para este propósito já foram corrigidas pelo Google em suas últimas versões do Chrome.
Após a infecção, o DevilsTongue é capaz de realizar uma variedade de ações maliciosas, incluindo roubo de dados secretos, descriptografia e roubo de mensagens do Signal, extração de cookies ou senhas salvas do LSASS e dos principais navegadores. O spyware também pode aproveitar cookies de plataformas populares de redes sociais e clientes de e-mail para coletar informações sensíveis sobre suas vítimas, ler mensagens privadas e coletar fotos. Além disso, o DevilsTongue pode enviar mensagens do nome da vítima em algumas dessas plataformas, parecendo ser absolutamente legítimo.
Detecção de Ataque DevilsTongue
Para evitar uma possível violação pelo malware DevilsTongue, é recomendado abrir links de fontes desconhecidas ou não confiáveis em um ambiente isolado.
Desenvolvedor do Threat Bounty da SOC Prime Sittikorn publicou uma regra Sigma da comunidade que identifica as vulnerabilidades zero-day recentemente corrigidas no Windows CVE-2021-31979 e CVE-2021-33771 associadas aos ataques DevilsTongue. A regra Sigma da comunidade Sourgum CVE-2021-31979 e CVE-2021-33771 exploits está disponível para usuários do Threat Detection Marketplace mediante registro.
A detecção está disponível para as seguintes tecnologias: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
The Detecção de Domínios Candiru regra por Onur Atali ajuda a detectar domínios específicos de países associados ao ataque DevilTounge. A detecção está disponível para as seguintes tecnologias: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix.
Além disso, o Threat Detection Marketplace indexa a Regra SOURGUM Actor IOC – Julho 2021 desenvolvida por Microsoft Azure Sentinel. Esta regra identifica uma correspondência entre os IOC relacionados ao ator Candiru (Sourgum).
Todas as detecções são mapeadas para a metodologia MITRE ATT&CK abordando as táticas de Acesso a Credenciais e a técnica de Phishing (t1566) e Exploração para Execução de Cliente (t1203).
Inscreva-se no Threat Detection Marketplace para acessar mais de 100K de itens de conteúdo SOC qualificados, multi-vendor e multi-ferramenta, adaptados para mais de 20 tecnologias líderes de mercado SIEM, EDR, NTDR e XDR. Entusiasmado para participar de atividades de caça de ameaças e enriquecer nossa biblioteca com novas regras Sigma? Junte-se ao nosso Programa Threat Bounty para um futuro mais seguro!
