全球追踪:高度复杂的Windows间谍软件DevilsTongue浮出水面
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
DevilsTongue是一种高级间谍软件,自2019年起通过浏览器漏洞和钓鱼攻击渗透全球高价值目标,窃取敏感数据。其复杂的持久化机制和隐蔽性使其难以被传统检测发现,主要影响政府和记者等多个国家的目标。
🎯
关键要点
- DevilsTongue是一种高级间谍软件,自2019年起通过浏览器漏洞和钓鱼攻击渗透全球高价值目标。
- 该软件利用模块化恶意软件技术,通过零日漏洞和武器化文档获取初始访问权限。
- 一旦成功部署,DevilsTongue会隐蔽地窃取敏感数据,影响政府和记者等多个国家的目标。
- 攻击载体包括带有恶意链接的钓鱼邮件、水坑攻击和设置陷阱的Office文档。
- 谷歌威胁分析小组观察到针对Chrome和Internet Explorer的漏洞利用,投递DevilsTongue有效载荷。
- 该恶意软件利用已签名的驱动程序实现内核级内存访问,规避传统检测。
- 受害者分布广泛,超过100人,涉及巴勒斯坦、土耳其和西班牙等地。
- DevilsTongue的持久化机制复杂,通过劫持合法的COM类注册表项加载恶意库。
- 感染机制包括多阶段利用和隐蔽载荷投递,使用定制的钓鱼邮件引导目标。
- 恶意软件通过内核权限将有效载荷映射到内存中,确保在磁盘上留下最少的取证痕迹。
❓
延伸问答
DevilsTongue是什么类型的恶意软件?
DevilsTongue是一种高级间谍软件,主要通过浏览器漏洞和钓鱼攻击渗透高价值目标。
DevilsTongue是如何获取初始访问权限的?
它通过利用浏览器零日漏洞和武器化文档来获取初始访问权限。
DevilsTongue的持久化机制是怎样的?
该恶意软件通过劫持合法的COM类注册表项加载恶意库,以保持隐蔽性和持久性。
DevilsTongue主要影响哪些目标?
它主要影响政府、记者等高价值目标,受害者分布在多个国家。
DevilsTongue是如何规避传统检测的?
它利用已签名的驱动程序实现内核级内存访问,从而规避基于签名的检测。
DevilsTongue的攻击载体有哪些?
攻击载体包括带有恶意链接的钓鱼邮件、水坑攻击和设置陷阱的Office文档。
➡️
