DISGOMOJI Зловреден софтуер
Кампания за кибершпионаж, насочена срещу индийски правителствени организации през 2024 г., се приписва на заподозрян заплаха, базиран в Пакистан. Експертите по сигурността наблюдават тази кампания, идентифицирана като UTA0137, която използва уникален злонамерен софтуер на име DISGOMOJI. Този зловреден софтуер, написан на Golang, е насочен конкретно към Linux системи.
Съдържание
DISGOMOJI използва платформата Legitimate Discord
DISGOMOJI е персонализирана итерация на публичния проект Discord-C2, използващ услугата за съобщения Discord за командно-контролни (C2) операции, с интегрирани емотикони за комуникация.
Интересното е, че DISGOMOJI е идентичният всеобхватен инструмент за шпионаж, идентифициран преди това от изследователи по киберсигурност по време на анализ на инфраструктурата, свързан с атака, приписвана на актьора Transparent Tribe, хакерска група, свързана с Пакистан.
Зловреден софтуер DISGOMOJI се контролира чрез Discord Emojis
Атаката започва с фишинг имейли, съдържащи двоичен файл на Golang ELF, затворен в ZIP архив. При изпълнение двоичният файл извлича безобиден примамлив документ, докато дискретно изтегля полезния товар DISGOMOJI от отдалечен сървър.
DISGOMOJI, персонализирана версия на Discord-C2, е проектирана да събира данни за хост и да изпълнява команди от Discord сървър, контролиран от нападателя. Той се смее на уникален метод за изпращане и интерпретиране на команди чрез различни емотикони:
✅ - Показва завършване на команда
💀 - Прекратява процеса на злонамерен софтуер на устройството на жертвата
🏃♂️ - Изпълнява команда на устройството на жертвата
📸 - Прави екранна снимка на екрана на жертвата
👇 - Качва файл от устройството на жертвата в канала
☝️ - Изтегля файл на устройството на жертвата
👈 - Качва файл от устройството на жертвата за прехвърляне[.]sh
👉 - Изтегля файл, хостван на oshi[.]at, на устройството на жертвата
🦊 - Събира профилите на Mozilla Firefox на устройството на жертвата в ZIP архив
🕐 - Информира нападателя, че командата се обработва
🔥 - Търси и ексфилтрира файлове със специфични разширения: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS и ZIP
Зловреден софтуер установява отделен канал на сървъра на Discord за всяка жертва, позволявайки на атакуващия да взаимодейства с всяка жертва поотделно чрез тези канали.
Различни версии на оборудване с DISGOMOJI показват вариации във възможностите
Изследователите са открили различни итерации на DISGOMOJI, оборудвани с разширени функции, включително способността за установяване на постоянство, предотвратяване на едновременно изпълнение на дублиращи се процеси на DISGOMOJI, динамично извличане на идентификационни данни за връзка със сървъра на Discord по време на изпълнение и замъгляване на анализа чрез представяне на подвеждаща информация и съобщения за грешка.
В допълнение, заплахата UTA0137 е наблюдавана да използва законни инструменти с отворен код като Nmap, Chisel и Ligolo за мрежово сканиране и тунелиране. Скорошна кампания използва уязвимостта DirtyPipe (CVE-2022-0847), за да получи ескалация на привилегии на Linux хостове. Друга тактика след експлоатацията включва използването на помощната програма Zenity за показване на измамен диалогов прозорец, представящ се за актуализация на Firefox, целящ да подмами потребителите да разкрият своите пароли.
