DevilsTongue 惡意軟件

DevilsTongue 惡意軟件是一種用 C 和 C++ 編寫的模塊化威脅。 DevilsTongue 惡意軟件擁有多種複雜的混淆和持久性功能，使威脅更難以檢測和分析。例如，DevilTongue 的主要功能包含在 .DLL 文件中，這些文件在磁盤上加密，僅在內存中解密。惡意軟件的持久性機制確保威脅的 DLL 由 svchost.exe 進程加載，而不會在受感染系統的功能中留下任何明顯的變化。

建立後，DevilsTongue 可以在用戶或內核模式下運行，並可以執行各種有害操作。它可以收集選定的文件、運行 WMI 命令、查詢 SQLite 數據庫和系統的註冊表。此外，該惡意軟件能夠從本地安全機構子系統服務 (LSASS) 和選定數量的流行 Web 瀏覽器中收集憑據。它還可以從多個瀏覽器訪問 cookie，包括 Chrome、Firefox、Safari、Yandex、Opera 等。 DevilsTongue 還配備了專用功能，可以解密信號，然後從 Signal 加密消息應用程序中提取轉換。

DevilsTongue 惡意軟件分發

在其攻擊鏈的初始階段，DevilsTongue 利用通過消息服務（例如 WhatsApp）傳播的損壞 URL 提供的瀏覽器漏洞。微軟在人權機構 Citizen Lab 的協助下，發布了針對兩個先前未知的零日漏洞的修復程序，這些漏洞被追踪為 CVE-2021-31979 和 CVE-2021-33771。兩者都會導致系統上非法的 Windows 內核權限提升。

微軟和公民實驗室認為，DevilsTongue 攻擊的幕後黑手是一個名為 Sourgum 的“私營部門攻擊者”（PSOA）。受害者的身份顯示，大約一半位於巴勒斯坦，來自以色列、伊朗、西班牙和英國的人數要少得多。 Citizen Lab 已確定 Sourgum 位於以色列，其客戶包括來自多個不同國家/地區的政府機構。