Devilstongue’un ortaya çıkışı, paralı casus yazılım yeteneklerinde önemli bir yükselişe işaret ediyor ve dünya çapında yüksek değerli hedeflere sızmak için gelişmiş pencere tabanlı tekniklerden yararlanıyor.
İlk olarak 2019’a kadar uzanan kampanyalarda gözlenen bu modüler kötü amaçlı yazılım, ilk erişim elde etmek için sıfır günlük tarayıcı güvenlik açıklarından ve silahlandırılmış belgelerden agresif bir şekilde yararlanmaktadır.
Bir kez konuşlandırıldıktan sonra, kurumsal ve kişisel ortamlardan duyarlı verileri söndürerek gizli bir varlık oluşturur.
Kaydedilen gelecekteki araştırmacılar, hem küresel operasyon ölçeğinin hem de kümeler arasında idari uygulamaların çeşitliliğinin altını çizerek, birden fazla ülkede yeni kurbanlara bakan ve operatör-katman altyapısı belirlediler.
Devilstongue’un saldırı vektörleri arasında kötü niyetli bağlantılar, stratejik sulama deliği uzlaşmaları ve bubi tuzaklı ofis belgeleri ile spearphishing.
Google’ın tehdit analiz grubu, 2021’de Chrome ve Internet Explorer’ı hedefleyen istismarları gözlemledi, özellikle CVE-2021-21166 ve CVE-2021-33742, tek kullanımlık URL’ler ve gömülü Activex nesneleri aracılığıyla şeytanstongu yükleri sağladı.
İlk uzlaşmanın ardından, kötü amaçlı yazılım, çekirdek düzeyinde bellek erişimi elde etmek için imzalı bir sürücüden (PhysMem.sys) yararlanır ve diske yazmadan gelişmiş bellek içi yük yürütmesini sağlar.
Kaydedilen gelecek analistler, bu tekniklerin şeytanstongue’nin geleneksel imza tabanlı tespitten kaçmasına izin verdiğini ve kurban cihazlarında radar altı kalıcılığını sürdürmesine izin verdiğini belirtti.
Devilstongue’un küresel etkisi derindi. Avrupa, Orta Doğu ve Asya’daki hükümet müşterileri, casus yazılımları politikacılara, gazetecilere ve muhaliflere karşı konuşlandırdılar.
Citizen Lab ve Microsoft, diğerlerinin yanı sıra Filistin, Türkiye ve İspanya’yı kapsayan 100’den fazla kurban bildirdi.
Hedefleme altyapısı, Suudi Arabistan, Macaristan ve Endonezya’daki kuruluşlara kadar izlendi ve bazı kümeler 2015’in ortalarından itibaren hala aktif.
.webp)
Milyonlarca avro olarak tahmin edilen yüksek konuşlandırma maliyeti, yüksek değerli hedeflere kullanım sınırlaması, ancak kişisel gizlilik ve ulusal güvenlik için sonuçlar tartışılmaz.
.webp)
Devilstongue’un ayırt edici özellikleri arasında sofistike kalıcılık mekanizmasıdır. Yürütme üzerine, birinci aşama DLL sistem dizinine bırakılır ve bu kötü amaçlı kütüphaneyi yüklemek için meşru bir Com sınıfı kayıt defteri anahtarı kaçırılır.
Kötü amaçlı yazılım, sistem kararlılığını korumak için orijinal com dll’i yeniden enjekte ederken, kendi kodu bellekte gizli çalışır. Kalıcılık, şifreli konfigürasyon depolama ve yük bileşenlerinin dinamik karması ile adli analizi engelleyerek daha da desteklenir.
Enfeksiyon mekanizması
Devilstongue enfeksiyon mekanizması çok aşamalı sömürü ve gizli yük teslimatı üzerine odaklanmaktadır.
Başlangıçta, özel bir kimlik avı e -postası, hedefi meşru hizmetleri taklit eden kötü amaçlı bir alana yönlendirir.
Bir tarayıcı istismarı zinciri, şifreli ikinci aşamalı bir yükü alan bir yükleyiciyi bırakarak uzaktan kod yürütmeyi tetikler.
.webp)
Bu yükleyici, yükü çekirdek ayrıcalıklarıyla belleğe eşlemek için imzalı bir sürücü olan PhysMem.sys kullanır.
Aşağıdaki kod snippet’i, kötü amaçlı yazılımın kalıcılığa ulaşmak için bir com sınıfı kayıt defteri girişini nasıl ele geçirdiğini göstermektedir:-
// COM hijacking registry modification
HKEY hKey;
RegOpenKeyExW(HKEY_CLASSES_ROOT, L"CLSID\\{00000000-0000-0000-C000-000000000046}\\InprocServer32", 0, KEY_SET_VALUE, &hKey);
RegSetValueExW(hKey, NULL, 0, REG_SZ, (BYTE*)L"C:\\Windows\\system32\\IME\\stage1.dll", sizeof(L"C:\\Windows\\system32\\IME\\stage1.dll"));
RegCloseKey(hKey);Bu taktik, COM sınıfı meşru bir uygulama ile somutlaştırıldığında, kötü niyetli DLL’nin ilk önce yüklenmesini ve Devilstongue tam kontrolü vermesini sağlar.
Sonraki modüller, diskte minimal adli artefaktlar bırakarak sadece bellekte şifresini çözer ve yürütür.
Bu tür katmanlı yürütme, Devilstongue’un tasarımındaki sofistike derinliğin ve modern savunmalara karşı devam eden evrimi vurgular.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın