Programari maliciós DISGOMOJI
Una campanya de ciberespionatge dirigida a entitats governamentals de l'Índia el 2024 s'ha atribuït a un presumpte actor d'amenaça amb seu al Pakistan. Els experts en seguretat estan supervisant aquesta campanya, identificada com a UTA0137, que utilitza un programari maliciós únic anomenat DISGOMOJI. Aquest programari maliciós, escrit en Golang, s'adreça específicament als sistemes Linux.
Taula de continguts
DISGOMOJI explota la plataforma de discòrdia legítima
DISGOMOJI és una iteració personalitzada del projecte públic Discord-C2, que utilitza el servei de missatgeria Discord per a operacions de comandament i control (C2), amb emojis integrats per a la comunicació.
Curiosament, DISGOMOJI és l'eina d'espionatge integral idèntica prèviament identificada pels investigadors de ciberseguretat durant una anàlisi d'infraestructura relacionada amb un atac atribuït a l'actor Transparent Tribe, un grup de pirateria vinculat al Pakistan.
El programari maliciós DISGOMOJI es controla mitjançant Discord Emojis
L'atac comença amb correus electrònics de pesca de pesca que contenen un binari Golang ELF inclòs dins d'un arxiu ZIP. Després de l'execució, el binari obté un document d'engany inofensiu mentre baixa discretament la càrrega útil DISGOMOJI des d'un servidor remot.
DISGOMOJI, una versió personalitzada de Discord-C2, està dissenyada per recopilar dades de l'amfitrió i executar ordres des d'un servidor de Discord controlat per l'atacant. Riu amb un mètode únic per enviar i interpretar ordres mitjançant diversos emojis:
✅ - Indica la realització d'una ordre
💀 - Finalitza el procés de programari maliciós al dispositiu de la víctima
🏃♂️ - Executa una ordre al dispositiu de la víctima
📸 - Fa una captura de pantalla de la pantalla de la víctima
👇 - Carrega un fitxer des del dispositiu de la víctima al canal
☝️ - Baixa un fitxer al dispositiu de la víctima
👈 - Carrega un fitxer des del dispositiu de la víctima per transferir[.]sh
👉 - Baixa un fitxer allotjat a oshi[.]at al dispositiu de la víctima
🦊 - Reuneix els perfils de Mozilla Firefox al dispositiu de la víctima en un arxiu ZIP
🕐 - Informa a l'atacant que l'ordre s'està processant
🔥 - Cerca i exfiltra fitxers amb extensions específiques: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS i ZIP
El programari maliciós estableix un canal independent al servidor de Discord per a cada víctima, el que permet a l'atacant interactuar amb cada víctima individualment a través d'aquests canals.
Les diferents versions de DISGOMOJI equipat mostren variacions en les capacitats
Els investigadors han descobert diverses iteracions de DISGOMOJI equipades amb funcions avançades, inclosa la capacitat d'establir persistència, prevenir l'execució simultània de processos DISGOMOJI duplicats, recuperar dinàmicament credencials per a la connexió del servidor Discord en temps d'execució i ofuscar l'anàlisi presentant missatges d'error i d'informació enganyosos.
A més, s'ha observat que l'actor d'amenaça UTA0137 aprofita eines legítimes i de codi obert com Nmap, Chisel i Ligolo per a l'exploració de la xarxa i la realització de túnels. Una campanya recent va explotar la vulnerabilitat DirtyPipe (CVE-2022-0847) per obtenir una escalada de privilegis als amfitrions Linux. Una altra tàctica posterior a l'explotació consisteix a utilitzar la utilitat Zenity per mostrar un quadre de diàleg fraudulent que es presenta com una actualització de Firefox, amb l'objectiu d'enganyar els usuaris perquè revelin les seves contrasenyes.
