Κακόβουλο λογισμικό DISGOMOJI
Μια εκστρατεία κυβερνοκατασκοπείας που στοχεύει κυβερνητικές οντότητες της Ινδίας το 2024 έχει αποδοθεί σε έναν ύποπτο παράγοντα απειλής με έδρα το Πακιστάν. Οι ειδικοί σε θέματα ασφάλειας παρακολουθούν αυτήν την καμπάνια, που προσδιορίζεται ως UTA0137, η οποία χρησιμοποιεί ένα μοναδικό κακόβουλο λογισμικό που ονομάζεται DISGOMOJI. Αυτό το κακόβουλο λογισμικό, γραμμένο σε Golang, στοχεύει συγκεκριμένα συστήματα Linux.
Πίνακας περιεχομένων
Το DISGOMOJI εκμεταλλεύεται την πλατφόρμα νόμιμης διχόνοιας
Το DISGOMOJI είναι μια προσαρμοσμένη επανάληψη του δημόσιου έργου Discord-C2, που χρησιμοποιεί την υπηρεσία μηνυμάτων Discord για λειτουργίες Command-and-Control (C2), με emojis ενσωματωμένα για επικοινωνία.
Είναι ενδιαφέρον ότι το DISGOMOJI είναι το πανομοιότυπο ολοκληρωμένο εργαλείο κατασκοπείας που είχε προηγουμένως εντοπιστεί από ερευνητές κυβερνοασφάλειας κατά τη διάρκεια μιας ανάλυσης υποδομής που σχετίζεται με μια επίθεση που αποδίδεται στον ηθοποιό Transparent Tribe, μια ομάδα hacking που συνδέεται με το Πακιστάν.
Το κακόβουλο λογισμικό DISGOMOJI ελέγχεται μέσω του Discord Emojis
Η επίθεση ξεκινά με emails spear-phishing που περιέχουν ένα δυαδικό αρχείο Golang ELF που περικλείεται σε ένα αρχείο ZIP. Κατά την εκτέλεση, το δυαδικό αρχείο ανακτά ένα αβλαβές έγγραφο δόλωμα ενώ κατεβάζει διακριτικά το ωφέλιμο φορτίο DISGOMOJI από έναν απομακρυσμένο διακομιστή.
Το DISGOMOJI, μια προσαρμοσμένη έκδοση του Discord-C2, έχει σχεδιαστεί για να συλλέγει δεδομένα κεντρικού υπολογιστή και να εκτελεί εντολές από έναν διακομιστή Discord που ελέγχεται από τον εισβολέα. Γελάει μια μοναδική μέθοδος αποστολής και ερμηνείας εντολών μέσω διαφόρων emoji:
✅ - Υποδεικνύει την ολοκλήρωση μιας εντολής
💀 - Τερματίζει τη διαδικασία κακόβουλου λογισμικού στη συσκευή του θύματος
🏃♂️ - Εκτελεί μια εντολή στη συσκευή του θύματος
📸 - Τραβάει ένα στιγμιότυπο οθόνης της οθόνης του θύματος
👇 - Ανεβάζει ένα αρχείο από τη συσκευή του θύματος στο κανάλι
☝️ - Λήψη αρχείου στη συσκευή του θύματος
👈 - Ανεβάζει ένα αρχείο από τη συσκευή του θύματος για μεταφορά[.]sh
👉 - Πραγματοποιεί λήψη ενός αρχείου που φιλοξενείται στο oshi[.]at στη συσκευή του θύματος
🦊 - Συγκεντρώνει τα προφίλ του Mozilla Firefox στη συσκευή του θύματος σε ένα αρχείο ZIP
🕐 - Ενημερώνει τον εισβολέα ότι η εντολή υποβάλλεται σε επεξεργασία
🔥 - Αναζητά και εξάγει αρχεία με συγκεκριμένες επεκτάσεις: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS και ZIP
Το κακόβουλο λογισμικό δημιουργεί ένα ξεχωριστό κανάλι στον διακομιστή Discord για κάθε θύμα, επιτρέποντας στον εισβολέα να αλληλεπιδρά με κάθε θύμα ξεχωριστά μέσω αυτών των καναλιών.
Διαφορετικές εκδόσεις του DISGOMOJI Equipped Εμφανίζουν παραλλαγές στις δυνατότητες
Οι ερευνητές ανακάλυψαν διάφορες επαναλήψεις του DISGOMOJI εξοπλισμένου με προηγμένα χαρακτηριστικά, συμπεριλαμβανομένης της ικανότητας δημιουργίας επιμονής, αποτροπής ταυτόχρονης εκτέλεσης διπλών διαδικασιών DISGOMOJI, δυναμικής ανάκτησης διαπιστευτηρίων για σύνδεση διακομιστή Discord κατά τη διάρκεια εκτέλεσης και συσκότισης ανάλυσης παρουσιάζοντας παραπλανητικά πληροφοριακά μηνύματα και μηνύματα λάθους.
Επιπλέον, ο παράγοντας απειλής UTA0137 έχει παρατηρηθεί ότι αξιοποιεί νόμιμα εργαλεία και εργαλεία ανοιχτού κώδικα όπως το Nmap, το Chisel και το Ligolo για σκοπούς σάρωσης δικτύου και σήραγγας. Μια πρόσφατη καμπάνια εκμεταλλεύτηκε την ευπάθεια DirtyPipe (CVE-2022-0847) για να αποκτήσει κλιμάκωση προνομίων σε κεντρικούς υπολογιστές Linux. Μια άλλη τακτική μετά την εκμετάλλευση περιλαμβάνει τη χρήση του βοηθητικού προγράμματος Zenity για την εμφάνιση ενός δόλιου πλαισίου διαλόγου που παρουσιάζεται ως ενημέρωση του Firefox, με στόχο να εξαπατήσει τους χρήστες ώστε να αποκαλύψουν τους κωδικούς πρόσβασής τους.
