DevilsTongue 恶意软件

DevilsTongue 恶意软件是一种用 C 和 C++ 编写的模块化威胁。 DevilsTongue 恶意软件拥有多种复杂的混淆和持久性功能，使威胁更难以检测和分析。例如，DevilTongue 的主要功能包含在 .DLL 文件中，这些文件在磁盘上加密，仅在内存中解密。恶意软件的持久性机制确保威胁的 DLL 由 svchost.exe 进程加载，而不会在受感染系统的功能中留下任何明显的变化。

建立后，DevilsTongue 可以在用户或内核模式下运行，并可以执行各种有害操作。它可以收集选定的文件、运行 WMI 命令、查询 SQLite 数据库和系统的注册表。此外，该恶意软件能够从本地安全机构子系统服务 (LSASS) 和选定数量的流行 Web 浏览器中收集凭据。它还可以从多个浏览器访问 cookie，包括 Chrome、Firefox、Safari、Yandex、Opera 等。 DevilsTongue 还配备了专用功能，可以解密信号，然后从 Signal 加密消息应用程序中提取转换。

DevilsTongue 恶意软件分发

在其攻击链的初始阶段，DevilsTongue 利用通过消息服务（例如 WhatsApp）传播的损坏 URL 提供的浏览器漏洞。微软在人权机构 Citizen Lab 的协助下，发布了针对两个先前未知的零日漏洞的修复程序，这些漏洞被追踪为 CVE-2021-31979 和 CVE-2021-33771。两者都会导致系统上非法的 Windows 内核权限提升。

微软和公民实验室认为，DevilsTongue 攻击的幕后黑手是一个名为 Sourgum 的“私营部门攻击者”（PSOA）。受害者的身份显示，大约一半位于巴勒斯坦，来自以色列、伊朗、西班牙和英国的人数要少得多。 Citizen Lab 已确定 Sourgum 位于以色列，其客户包括来自多个不同国家/地区的政府机构。