البرامج الضارة DISGOMOJI

نُسبت حملة تجسس إلكتروني استهدفت كيانات حكومية هندية في عام 2024 إلى جهة فاعلة تهديدية مشتبه بها مقرها في باكستان. يراقب خبراء الأمن هذه الحملة، التي تم تحديدها باسم UTA0137، والتي تستخدم برنامجًا ضارًا فريدًا يسمى DISGOMOJI. تستهدف هذه البرامج الضارة المكتوبة بلغة Golang أنظمة Linux على وجه التحديد.

DISGOMOJI يستغل منصة Discord المشروعة

DISGOMOJI هو تكرار مخصص لمشروع Discord-C2 العام، باستخدام خدمة رسائل Discord لعمليات القيادة والتحكم (C2)، مع الرموز التعبيرية المدمجة للتواصل.

ومن المثير للاهتمام أن DISGOMOJI هي أداة تجسس شاملة مماثلة تم تحديدها مسبقًا من قبل باحثي الأمن السيبراني أثناء تحليل البنية التحتية المتعلقة بهجوم منسوب إلى ممثل القبيلة الشفافة، وهي مجموعة قرصنة مرتبطة بباكستان.

يتم التحكم في برامج DISGOMOJI الضارة عبر Discord Emojis

يبدأ الهجوم برسائل البريد الإلكتروني التصيدية التي تحتوي على ملف ثنائي Golang ELF محاط بأرشيف ZIP. عند التنفيذ، يقوم الملف الثنائي بجلب مستند خادع غير ضار أثناء تنزيل حمولة DISGOMOJI بشكل سري من خادم بعيد.

تم تصميم DISGOMOJI، وهو إصدار مخصص من Discord-C2، لجمع بيانات المضيف وتنفيذ الأوامر من خادم Discord الذي يتحكم فيه المهاجم. إنها طريقة فريدة لإرسال وتفسير الأوامر من خلال الرموز التعبيرية المختلفة:

✅ - يشير إلى الانتهاء من الأمر

💀 - إنهاء عملية البرمجيات الخبيثة على جهاز الضحية

🏃‍♂️ - تنفيذ أمر على جهاز الضحية

📸 - أخذ لقطة شاشة لشاشة الضحية

👇 - رفع ملف من جهاز الضحية إلى القناة

☝️ - تنزيل ملف على جهاز الضحية

👈 - رفع ملف من جهاز الضحية لنقل[.]sh

👉 - تنزيل ملف مستضاف على oshi[.]at على جهاز الضحية

🦊 - يجمع ملفات تعريف Mozilla Firefox الموجودة على جهاز الضحية في أرشيف ZIP

🕐 - إبلاغ المهاجم بأن الأمر قيد المعالجة

🔥 - يبحث عن الملفات ويستخرجها بامتدادات محددة: CSV وDOC وISO وJPG وODP وODS وODT وPDF وPPT وRAR وSQL وTAR وXLS وZIP

وتقوم البرمجيات الخبيثة بإنشاء قناة منفصلة على خادم Discord لكل ضحية، مما يسمح للمهاجم بالتفاعل مع كل ضحية على حدة من خلال هذه القنوات.

إصدارات مختلفة من DISGOMOJI مجهزة لإظهار الاختلافات في القدرات

اكتشف الباحثون تكرارات مختلفة لـ DISGOMOJI المجهزة بميزات متقدمة، بما في ذلك القدرة على إثبات الثبات، ومنع التنفيذ المتزامن لعمليات DISGOMOJI المكررة، واسترداد بيانات الاعتماد ديناميكيًا لاتصال خادم Discord في وقت التشغيل، والتعتيم على التحليل من خلال تقديم رسائل معلومات ورسائل خطأ مضللة.

بالإضافة إلى ذلك، تمت ملاحظة أن ممثل التهديد UTA0137 يستفيد من الأدوات المشروعة ومفتوحة المصدر مثل Nmap و Chisel وLigolo لأغراض فحص الشبكة وحفر الأنفاق. استغلت حملة حديثة ثغرة DirtyPipe (CVE-2022-0847) للحصول على تصعيد الامتيازات على مضيفي Linux. هناك تكتيك آخر بعد الاستغلال يتضمن استخدام الأداة المساعدة Zenity لعرض مربع حوار احتيالي يظهر كتحديث لمتصفح Firefox، بهدف خداع المستخدمين للكشف عن كلمات المرور الخاصة بهم.