DevilsTongue 악성 코드

DevilsTongue Malware는 C 및 C++로 작성된 모듈식 위협입니다. DevilsTongue Malware는 위협 탐지 및 분석을 더 어렵게 만드는 몇 가지 복잡한 난독화 및 지속성 기능을 보유하고 있습니다. 예를 들어 DevilTongue의 주요 기능은 디스크에서 암호화되고 메모리에서만 해독되는 .DLL 파일에 포함되어 있습니다. 맬웨어의 지속성 메커니즘은 손상된 시스템의 기능에 눈에 띄는 변경 사항을 남기지 않고 위협의 DLL이 svchost.exe 프로세스에 의해 로드되도록 합니다.

일단 설정되면 DevilsTongue는 사용자 또는 커널 모드에서 실행될 수 있으며 다양한 유해한 작업을 수행할 수 있습니다. 선택한 파일을 수집하고, WMI 명령을 실행하고, SQLite 데이터베이스 및 시스템 레지스트리를 쿼리할 수 있습니다. 또한 이 악성코드는 LSASS(Local Security Authority Subsystem Service)와 일부 인기 웹 브라우저에서 자격 증명을 수집할 수 있습니다. 또한 Chrome, Firefox, Safari, Yandex, Opera 등을 포함한 여러 브라우저에서 쿠키에 액세스할 수 있습니다. DevilsTongue는 또한 Signal 암호화 메시징 응용 프로그램에서 변환을 해독한 다음 추출하는 전용 기능을 갖추고 있습니다.

DevilsTongue 악성 코드 배포

공격 체인의 초기 단계에서 DevilsTongue는 WhatsApp과 같은 메시징 서비스를 통해 확산되는 손상된 URL을 통해 전달되는 브라우저 취약점을 악용합니다. Microsoft는 인권 단체인 Citizen Lab의 지원을 받아 CVE-2021-31979 및 CVE-2021-33771로 추적된 이전에 알려지지 않은 2개의 제로데이 취약점에 대한 수정 사항을 발표했습니다. 둘 다 시스템에서 불법적인 Windows 커널 권한 상승으로 이어집니다.

Microsoft와 Citizen Lab은 Sourgum이라는 '민간 부문 공격자'(PSOA)가 DevilsTongue 공격의 배후에 있다고 믿고 있습니다. 희생자들의 신원을 보면 대략 절반이 팔레스타인에 있고 이스라엘, 이란, 스페인, 영국에서 온 사람들이 훨씬 적습니다. Citizen Lab은 Sourgum이 이스라엘에 기반을 두고 있으며 고객은 여러 국가의 정부 기관을 포함하고 있음을 확인했습니다.