2021年07月16日 11時27分 セキュリティ

Windowsのゼロデイ脆弱性を突くマルウェア「DevilsTongue」をイスラエルの民間企業が開発した可能性があるとMicrosoftが発表



Microsoftが、「Sourgum」と呼ばれるグループが開発・販売する、Windows 10のゼロデイ脆弱性を攻撃するマルウェア「DevilsTongue」の対策を行ったと発表しました。DevilsTongueによる被害者は政治家や人権活動家など100人以上で、Microsoftとトロント大学のセキュリティ研究組織・シチズンラボは「Sourgumの正体はイスラエルの民間セキュリティ企業だ」と指摘しています。



Fighting cyberweapons built by private businesses - Microsoft On the Issues

https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/





Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware | Microsoft Security Blog

https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/



Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus - The Citizen Lab

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/



Microsoftによれば、問題となった攻撃はWindowsのゼロデイ脆弱性であるCVE-2021-31979とCVE-2021-33771を「DevilsToungue」と呼ぶマルウェアで狙い、攻撃者がリモートで特権を得てカーネルコードを実行できるようにするというもの。



DevilsTongueはCおよびC++言語で記述された「複雑なモジュラーマルチスレッドマルウェア」で、ファイル収集やコマンド実行、ChromeやFirefoxなどのブラウザからの資格情報スキャン、暗号化メッセージングアプリ「Signal」からの会話の傍受などを行います。さらに悪意のあるリンクを作成し、被害者のPCから送信することで増殖するとのこと。なお、Microsoftによれば、最新バージョンのWindows 10にアップデートした上で、Microsoft Defender for Endpointから「悪用された脆弱な署名付きドライバーをブロックする」を有効にすることで、DevilsTongueが使用するドライバーがブロックされます。



Microsoftの調査によれば、パレスチナ、イスラエル、イラン、レバノン、イエメン、スペイン、イギリス、トルコ、アルメニア、シンガポールで少なくとも100人がDevilsTongueの被害を受けているとのこと。被害者の多くが人権活動家や反体制派、ジャーナリスト、大使館職員、政治家などだったそうです。Microsoftは、DevilsTongueを開発・配布したグループを「Sourgum」というコードネームで呼んでおり、民間の攻撃的行為者(PSOA)だと指摘しています。



Microsoftと共同でDevilsTongueを分析したシチズンラボは、イスラエルのテルアビブに本拠を置く「Candiru」という会社がSourgumの正体であると断言しています。





Candiruは2014年に設立されてから、4~5回も名前を変えながら続いている会社で、イスラエル国防軍の諜報部隊組織・8200部隊の元メンバーで構成されているといわれています。なお、イスラエルには同様のサイバーセキュリティ企業が多く存在しており、スパイツールやマルウェアを開発して売りさばく巨大サイバーセキュリティ市場があることで知られています。



イスラエルのサイバーセキュリティ産業は軍の秘密組織から成り立っている - GIGAZINE





Candiruは政府機関に製品を販売していることからPSOAとして認識されており、シチズンラボは政府機関がDevilsTongueを使ってハッキングを行っている可能性を示唆。イスラエルのサイバーセキュリティ市場の中に商用スパイウェア市場が成立していることがサイバー犯罪の温床となっていることから、厳しく規制するべきだと強く訴えています。