DevilsTongueマルウェア

DevilsTongueマルウェアは、CおよびC ++で記述されたモジュール式の脅威です。 DevilsTongueマルウェアは、脅威の検出と分析をより困難にするいくつかの複雑な難読化および永続化機能を備えています。たとえば、DevilTongueの主な機能は、ディスク上で暗号化され、メモリ内でのみ復号化される.DLLファイル内に含まれています。マルウェアの永続化メカニズムにより、侵害されたシステムの機能に目立った変更を加えることなく、脅威のDLLがsvchost.exeプロセスによってロードされることが保証されます。

確立されると、DevilsTongueはユーザーモードまたはカーネルモードで実行でき、さまざまな有害なアクションを実行できます。選択したファイルを収集し、WMIコマンドを実行し、SQLiteデータベースとシステムのレジストリを照会できます。さらに、このマルウェアは、ローカルセキュリティ機関サブシステムサービス（LSASS）と選択された数の一般的なWebブラウザの両方から資格情報を収集することができます。また、Chrome、Firefox、Safari、Yandex、OperaなどのいくつかのブラウザからCookieにアクセスできます。 DevilsTongueには、Signal暗号化メッセージングアプリケーションからの変換を復号化してから抽出する専用機能も備わっています。

DevilsTongueマルウェアの配布

DevilsTongueは、攻撃チェーンの初期段階で、WhatsAppなどのメッセージングサービスを介して拡散した破損したURLを介して配信されるブラウザの脆弱性を悪用します。マイクロソフトは、人権団体であるシチズンラボの支援を受けて、CVE-2021-31979およびCVE-2021-33771として追跡された2つのこれまで知られていなかったゼロデイ脆弱性の修正をリリースしました。どちらも、システム上で違法なWindowsカーネル特権の昇格につながります。

マイクロソフトとシチズンラボは、Sourgumという名前の「民間部門の攻撃的アクター」（PSOA）がDevilsTongue攻撃の背後にあると信じています。犠牲者の身元は、約半分がパレスチナにいることを明らかにしており、イスラエル、イラン、スペイン、英国からの数はかなり少ない。シチズンラボは、Sourgumがイスラエルを拠点とし、その顧客にはいくつかの異なる国の政府機関が含まれていると判断しました。