Grupo de Spyware Candiru: Alvo em Jornalistas no Oriente Médio com Malware DevilsTongue

[post-views]
Julho 25, 2022 · 4 min de leitura
Grupo de Spyware Candiru: Alvo em Jornalistas no Oriente Médio com Malware DevilsTongue

Spyware apelidado de DevilsTongue está causando uma boa quantidade de problemas para jornalistas e defensores da liberdade de expressão no Oriente Médio, especialmente aqueles baseados no Líbano. Os adversários exploram uma zero-day do Chrome atribuída ao CVE-2022-2294 que o Google corrigiu no início deste mês para conseguir a execução de shellcode, elevar privilégios e obter permissões no sistema de arquivos na memória do dispositivo comprometido.

Pesquisadores descobriram que o ator da ameaça conhecido como Candiru utilizava tanto sites legítimos comprometidos quanto sites falsos, promovidos via spear phishing. A única ação necessária do lado das vítimas era abrir o site armado em qualquer navegador baseado em Chromium.

Detectar Malware DevilsTongue

Para defender proativamente as organizações contra novas amostras do malware DevilsTongue, um desenvolvedor de Threat Bounty de primeira linha Kyaw Pyiyt Htet lançou em tempo hábil uma regra Sigma única, enriquecida com contexto, permitindo detectar eventos de criação de arquivos do DevilsTongue em campanhas de Candiru:

Atividade Suspeita de Spyware DevilsTongue Pela Detecção de Eventos de Arquivo Associados

Esta detecção está disponível para as seguintes plataformas de segurança e análise SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch e Snowflake. Além disso, a regra Sigma também está alinhada com o MITRE ATT&CK® framework v.10, abordando a tática de Execução representada pela técnica de Execução de Usuário (T1204).

Caçadores de ameaças promissores seriam um ativo valioso para o Programa de Recompensas de Ameaçasda SOC Prime, onde podem criar uma marca pessoal e contribuir para a defesa cibernética colaborativa junto com outros 600+ engenheiros de detecção freelancers qualificados.

Usuários registrados podem acessar todo o conteúdo de detecção associado ao spyware DevilsTongue clicando no botão Detectar & Caçar . Caçadores de ameaças, engenheiros de detecção e outros profissionais de InfoSec que buscam melhorar a postura de cibersegurança da organização podem explorar uma vasta biblioteca de itens de conteúdo de detecção aprimorados com contexto de ameaça relevante acessando a opção Explorar Contexto de Ameaça: o acesso não é baseado em registro.

Detectar & Caçar Explorar Contexto de Ameaça

Análise do Spyware Candiru

Pesquisadores de segurança da empresa de antivírus Avast lançaram um relatório sobre um aumento nos ataques com o spyware DevilsTongue, desenvolvido pela empresa de vigilância israelense Candiru. Os ataques foram registrados em março de 2022 na Palestina, Iêmen, Turquia e Líbano, alvo de trabalhadores de agências de notícias.

As autoridades afirmam que a Candiru (também conhecida como Sourgum, Grindavik e Saito Tech – os nomes mudaram ao longo de sua existência) é uma empresa de hackers para alugar que vende o software espião DevilsTongue para clientes governamentais. Engenheiros ligados ao desenvolvimento do notório spyware Pegasus (do NSO Group) são considerados os fundadores deste fornecedor de spyware. A empresa foi estabelecida em 2014, mas apareceu no radar da segurança em 2019, alimentando os ataques contra dissidentes e defensores da liberdade de expressão no Uzbequistão. A empresa já mirou mais de 100 jornalistas e dissidentes em mais de dez países.

Na última campanha, os adversários usaram a vulnerabilidade CVE-2022-2294 do Chromium Open Source Software (OSS), corrigida em 4 de julho. Quando o alvo é adquirido, os adversários estabelecem uma base no computador da vítima para entregar o spyware DevilsTongue. O objetivo é roubar dados, por exemplo, fotos, mensagens de texto e histórico de registro de chamadas e rastrear a localização de um dispositivo comprometido em tempo real.

Para alcançar uma detecção eficiente para ameaças emergentes e existentes, aproveite os benefícios da primeira plataforma de Detecção como Códigodo mundo. Obtenha melhor visibilidade das ameaças que passam pela sua rede com as soluções de detecção de ponta da SOC Prime. cutting-edge detection solutions.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias