DISGOMOJI Malware
En cyberspionagekampagne rettet mod indiske regeringsenheder i 2024 er blevet tilskrevet en formodet trusselsaktør med base i Pakistan. Sikkerhedseksperter overvåger denne kampagne, identificeret som UTA0137, som anvender en unik malware ved navn DISGOMOJI. Denne malware, skrevet i Golang, retter sig specifikt mod Linux-systemer.
Indholdsfortegnelse
DISGOMOJI udnytter den legitime Discord-platform
DISGOMOJI er en tilpasset iteration af det offentlige Discord-C2-projekt, der bruger Discord-meddelelsestjenesten til Command-and-Control (C2)-operationer, med emojis integreret til kommunikation.
Interessant nok er DISGOMOJI det identiske omfattende spionageværktøj, som tidligere blev identificeret af cybersikkerhedsforskere under en infrastrukturanalyse relateret til et angreb, der tilskrives Transparent Tribe-aktøren, en hackergruppe knyttet til Pakistan.
DISGOMOJI-malwaren styres via Discord-emojis
Angrebet begynder med spear-phishing-e-mails, der indeholder en Golang ELF-binær, indesluttet i et ZIP-arkiv. Ved udførelse henter binæren et harmløst lokkedokument, mens den diskret downloader DISGOMOJI-nyttelasten fra en fjernserver.
DISGOMOJI, en tilpasset version af Discord-C2, er udviklet til at indsamle værtsdata og udføre kommandoer fra en Discord-server, der kontrolleres af angriberen. Det griner en unik metode til at sende og fortolke kommandoer gennem forskellige emojis:
✅ - Indikerer fuldførelse af en kommando
💀 - Afslutter malware-processen på offerets enhed
🏃♂️ - Udfører en kommando på offerets enhed
📸 - Tager et skærmbillede af offerets skærm
👇 - Uploader en fil fra offerets enhed til kanalen
☝️ - Downloader en fil til ofrets enhed
👈 - Uploader en fil fra offerets enhed for at overføre[.]sh
👉 - Downloader en fil hostet på oshi[.]at til ofrets enhed
Dette samler Mozilla Firefox-profiler på ofrets enhed i et ZIP-arkiv
🕐 - Informerer angriberen om, at kommandoen behandles
🔥 - Søger efter og eksfiltrerer filer med specifikke udvidelser: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS og ZIP
Malwaren etablerer en separat kanal på Discord-serveren for hvert offer, hvilket gør det muligt for angriberen at interagere med hvert offer individuelt gennem disse kanaler.
Forskellige versioner af DISGOMOJI-udstyret viser variationer i kapaciteter
Forskere har opdaget forskellige iterationer af DISGOMOJI udstyret med avancerede funktioner, herunder evnen til at etablere persistens, forhindre samtidig udførelse af duplikerede DISGOMOJI-processer, dynamisk hente legitimationsoplysninger til Discord-serverforbindelse under kørsel og sløre analyse ved at præsentere vildledende informations- og fejlmeddelelser.
Derudover er trusselsaktøren UTA0137 blevet observeret ved at udnytte legitime og open source-værktøjer såsom Nmap, Chisel og Ligolo til netværksscanning og tunneling. En nylig kampagne udnyttede DirtyPipe-sårbarheden (CVE-2022-0847) til at opnå privilegieeskalering på Linux-værter. En anden taktik efter udnyttelse involverer at bruge Zenity-værktøjet til at vise en svigagtig dialogboks, der optræder som en Firefox-opdatering, med det formål at narre brugere til at afsløre deres adgangskoder.
