DevilsTongue Malware
DevilsTongue Malware to modułowe zagrożenie napisane w językach C i C++. DevilsTongue Malware posiada kilka złożonych możliwości maskowania i utrwalania, które utrudniają wykrycie i analizę zagrożenia. Na przykład główna funkcjonalność DevilTongue jest zawarta w plikach .DLL, które są zaszyfrowane na dysku i odszyfrowane tylko w pamięci. Mechanizm trwałości złośliwego oprogramowania zapewnia, że biblioteka DLL zagrożenia jest ładowana przez proces svchost.exe bez pozostawiania żadnych zauważalnych zmian w funkcjonalności zaatakowanego systemu.
Raz ustanowiony, DevilsTongue może działać w trybie użytkownika lub jądra i może wykonywać szereg szkodliwych działań. Może zbierać wybrane pliki, uruchamiać komendę WMI, odpytywać bazy danych SQLite i Rejestr systemu. Ponadto złośliwe oprogramowanie jest w stanie zbierać dane uwierzytelniające zarówno z usługi podsystemu lokalnego organu bezpieczeństwa (LSASS), jak i wybranej liczby popularnych przeglądarek internetowych. Może również uzyskać dostęp do plików cookie z kilku przeglądarek, w tym Chrome, Firefox, Safari, Yandex, Opera i innych. DevilsTongue jest również wyposażony w dedykowaną funkcjonalność, która odszyfrowuje, a następnie usuwa konwersje z aplikacji do szyfrowania wiadomości Signal.
DevilsTongue Dystrybucja złośliwego oprogramowania
Na początkowych etapach łańcucha ataków DevilsTongue wykorzystuje luki w zabezpieczeniach przeglądarki dostarczane przez uszkodzone adresy URL rozpowszechniane za pośrednictwem usług przesyłania wiadomości, takich jak WhatsApp. Microsoft, wspierany przez organizację zajmującą się prawami człowieka Citizen Lab, opublikował poprawki dla dwóch wcześniej nieznanych luk zero-day, śledzonych jako CVE-2021-31979 i CVE-2021-33771. Oba prowadzą do niezgodnej z prawem eskalacji uprawnień jądra systemu Windows w systemie.
Microsoft i Citizen Lab uważają, że za atakami DevilsTongue stoi „obraźliwy aktor sektora prywatnego” (PSOA) o imieniu Sourgum. Tożsamość ofiar pokazuje, że około połowa znajduje się w Palestynie, przy czym znacznie mniejsza liczba pochodzi z Izraela, Iranu, Hiszpanii i Wielkiej Brytanii. Citizen Lab ustalił, że Sourgum ma siedzibę w Izraelu, a jego klientami są agencje rządowe z kilku różnych krajów.
