DevilsTongue Malware

DevilsTongue Malware, C ve C++ ile yazılmış modüler bir tehdittir. DevilsTongue Kötü Amaçlı Yazılımı, tehdidi algılama ve analiz için daha zor hale getiren çeşitli karmaşık gizleme ve kalıcılık özelliklerine sahiptir. Örneğin, DevilTongue'un ana işlevi, diskte şifrelenen ve yalnızca bellekte şifresi çözülen .DLL dosyalarının içinde bulunur. Kötü amaçlı yazılımın kalıcılık mekanizması, tehdidin DLL'sinin svchost.exe işlemi tarafından güvenliği ihlal edilen sistemin işlevselliğinde gözle görülür herhangi bir değişiklik bırakmadan yüklenmesini sağlar.

DevilsTongue kurulduktan sonra kullanıcı veya çekirdek modunda çalışabilir ve çeşitli zararlı eylemler gerçekleştirebilir. Seçilen dosyaları toplayabilir, WMI komutunu çalıştırabilir, SQLite veritabanlarını sorgulayabilir ve sistemin Kayıt Defterini sorgulayabilir. Ayrıca, kötü amaçlı yazılım, hem Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti'nden (LSASS) hem de belirli sayıda popüler Web tarayıcısından kimlik bilgilerini toplama yeteneğine sahiptir. Ayrıca Chrome, Firefox, Safari, Yandex, Opera ve daha fazlası dahil olmak üzere çeşitli tarayıcılardan çerezlere erişebilir. DevilsTongue ayrıca Signal şifreli mesajlaşma uygulamasından dönüşümlerin şifresini çözen ve ardından sızdıran özel işlevsellik ile donatılmıştır.

DevilsTongue Kötü Amaçlı Yazılım Dağıtımı

DevilsTongue, saldırı zincirinin ilk aşamalarında, WhatsApp gibi mesajlaşma servisleri aracılığıyla yayılan bozuk URL'ler aracılığıyla sağlanan tarayıcı güvenlik açıklarından yararlanır. İnsan hakları ekibi Citizen Lab tarafından desteklenen Microsoft, CVE-2021-31979 ve CVE-2021-33771 olarak izlenen daha önce bilinmeyen iki sıfırıncı gün güvenlik açığı için düzeltmeler yayınladı. Her ikisi de sistemde yasa dışı Windows Çekirdeği ayrıcalık yükselmesine yol açar.

Microsoft ve Citizen Lab, DevilsTongue saldırılarının arkasında Sourgum adlı bir 'özel sektör saldırgan aktörü' (PSOA) olduğuna inanıyor. Kurbanların kimlikleri, yaklaşık yarısının Filistin'de bulunduğunu ve önemli ölçüde daha küçük bir sayının İsrail, İran, İspanya ve Birleşik Krallık'tan olduğunu ortaya koyuyor. Citizen Lab, Sourgum'un İsrail merkezli olduğunu ve müşterileri arasında birkaç farklı ülkeden devlet kurumları olduğunu belirledi.