DevilsTongue Malware

DevilsTongue Malware är ett modulärt hot skrivet i C och C ++. DevilsTongue Malware har flera komplexa fördunklings- och uthållighetsfunktioner som gör hotet svårare för detektering och analys. Till exempel finns DevilTongues huvudfunktionalitet i .DLL-filer som är krypterade på disken och endast dekrypteras i minnet. Malwareens uthållighetsmekanism säkerställer att hotets DLL laddas av svchost.exe-processen utan att lämna några märkbara förändringar i det komprometterade systemets funktionalitet.

När DevilsTongue är väl etablerat kan det köras i användar- eller kärnläge och kan utföra en mängd olika skadliga åtgärder. Det kan samla valda filer, köra WMI-kommando, fråga SQLite-databaser och systemets register. Dessutom kan skadlig programvara samla in referenser från både LSASS (Local Security Authority Subsystem Service) och ett utvalt antal populära webbläsare. Det kan också komma åt cookies från flera webbläsare, inklusive Chrome, Firefox, Safari, Yandex, Opera och mer. DevilsTongue är också utrustad med dedikerad funktionalitet som dekrypterar och sedan exfiltrerar omvandlingar från den signalkrypterade meddelandeprogrammet.

DevilsTongue-distribution av skadlig programvara

I de inledande faserna av sin attackkedja utnyttjar DevilsTongue webbläsarsårbarheter som levereras via skadade URL: er som sprids via meddelandetjänster som WhatsApp. Microsoft, med hjälp av människorättsutrustningen Citizen Lab, släppte korrigeringar för två tidigare okända nolldagars sårbarheter spårade som CVE-2021-31979 och CVE-2021-33771. Båda leder till olaglig Windows Kernel-rättighetsökning i systemet.

Microsoft och Citizen Lab tror att en "offensiv privat sektor" (PSOA) med namnet Sourgum står bakom DevilsTongue-attackerna. Offrens identitet avslöjar att ungefär hälften befinner sig i Palestina, med ett betydligt mindre antal från Israel, Iran, Spanien och Storbritannien. Citizen Lab har bestämt att Sourgum är israeliskt baserat och bland dess kunder ingår myndigheter från flera olika länder.