DISGOMOJI malware
Kyberšpionážní kampaň zaměřená na indické vládní subjekty v roce 2024 byla připsána podezřelému aktérovi hrozby se sídlem v Pákistánu. Bezpečnostní experti sledují tuto kampaň označenou jako UTA0137, která využívá unikátní malware s názvem DISGOMOJI. Tento malware napsaný v Golangu cílí konkrétně na systémy Linux.
Obsah
DISGOMOJI využívá platformu legitimních neshod
DISGOMOJI je přizpůsobená iterace veřejného projektu Discord-C2 využívající službu zpráv Discord pro operace Command-and-Control (C2) s integrovanými emotikony pro komunikaci.
Zajímavé je, že DISGOMOJI je identický komplexní špionážní nástroj, který dříve identifikovali výzkumníci kybernetické bezpečnosti během analýzy infrastruktury související s útokem připisovaným aktérovi Transparent Tribe, hackerské skupině napojené na Pákistán.
Malware DISGOMOJI se ovládá pomocí Discord Emojis
Útok začíná spear-phishingovými e-maily obsahujícími binární soubor Golang ELF uzavřený v archivu ZIP. Po spuštění binární soubor načte neškodný návnadový dokument, zatímco diskrétně stáhne užitečné zatížení DISGOMOJI ze vzdáleného serveru.
DISGOMOJI, přizpůsobená verze Discord-C2, je navržena tak, aby shromažďovala data hostitele a spouštěla příkazy ze serveru Discord ovládaného útočníkem. Směje se unikátní metodě odesílání a interpretace příkazů prostřednictvím různých emotikonů:
✅ - Označuje dokončení příkazu
💀 - Ukončí proces malwaru na zařízení oběti
🏃♂️ - Provede příkaz na zařízení oběti
📸 - Pořídí snímek obrazovky oběti
👇 - Nahraje soubor ze zařízení oběti do kanálu
☝️ - Stáhne soubor do zařízení oběti
👈 - Nahraje soubor ze zařízení oběti k přenosu[.]sh
👉 - Stáhne soubor hostovaný na oshi[.]at do zařízení oběti
🦊 - Shromažďuje profily Mozilla Firefox na zařízení oběti do archivu ZIP
🕐 - Informuje útočníka, že příkaz je zpracováván
🔥 - Vyhledává a exfiltruje soubory se specifickými příponami: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS a ZIP
Malware vytvoří na serveru Discord samostatný kanál pro každou oběť, což útočníkovi umožní komunikovat s každou obětí jednotlivě prostřednictvím těchto kanálů.
Různé verze vybavení DISGOMOJI ukazují variace ve schopnostech
Výzkumníci objevili různé iterace DISGOMOJI vybavené pokročilými funkcemi, včetně schopnosti vytvořit persistenci, zabránit simultánnímu provádění duplicitních procesů DISGOMOJI, dynamicky získávat přihlašovací údaje pro připojení k serveru Discord za běhu a zatemňovat analýzu předkládáním zavádějících informačních a chybových zpráv.
Kromě toho bylo pozorováno, že aktér hrozeb UTA0137 využívá legitimní a open source nástroje, jako jsou Nmap, Chisel a Ligolo, pro účely skenování sítě a tunelování. Nedávná kampaň zneužila zranitelnost DirtyPipe (CVE-2022-0847) k získání eskalace oprávnění na hostitelích Linux. Další taktika po zneužití zahrnuje použití nástroje Zenity k zobrazení podvodného dialogového okna vydávajícího se za aktualizaci Firefoxu, jejímž cílem je oklamat uživatele, aby odhalili svá hesla.
