DISGOMOJI pahavara
India valitsusüksustele suunatud küberspionaažikampaania 2024. aastal omistati Pakistanis asuvale kahtlustatavale ohus osalejale. Turvaeksperdid jälgivad seda kampaaniat, identifitseeritud kui UTA0137, mis kasutab ainulaadset pahavara nimega DISGOMOJI. See Golangi keeles kirjutatud pahavara sihib spetsiaalselt Linuxi süsteeme.
Sisukord
DISGOMOJI kasutab ära legitiimset ebakõla platvormi
DISGOMOJI on avaliku Discord-C2 projekti kohandatud iteratsioon, mis kasutab Discordi sõnumsideteenust Command-and-Control (C2) operatsioonide jaoks ja suhtlemiseks integreeritud emotikonidega.
Huvitaval kombel on DISGOMOJI identne kõikehõlmav spionaažitööriist, mille küberjulgeolekuteadlased varem tuvastasid infrastruktuurianalüüsi käigus, mis oli seotud Pakistaniga seotud häkkimisrühmituse Transparent Tribe rünnakuga.
DISGOMOJI pahavara juhitakse Discordi emotikonide kaudu
Rünnak algab andmepüügi e-kirjadega, mis sisaldavad ZIP-arhiivis Golang ELF-i kahendfaili. Täitmisel tõmbab binaarfail kahjutu peibutusdokumendi, laadides samal ajal diskreetselt alla DISGOMOJI kasuliku koormuse kaugserverist.
Discord-C2 kohandatud versioon DISGOMOJI on loodud hostiandmete kogumiseks ja ründaja kontrollitavast Discordi serverist käskude täitmiseks. See naerab ainulaadse meetodi käskude saatmiseks ja tõlgendamiseks erinevate emotikonide kaudu:
✅ – näitab käsu täitmist
💀 – lõpetab pahavara protsessi ohvri seadmes
🏃♂️ – täidab ohvri seadmes käsu
📸 – teeb ohvri ekraanilt ekraanipildi
👇 – laadib faili ohvri seadmest kanalisse üles
☝️ – laadib faili ohvri seadmesse alla
👈 – laadib ohvri seadmest üles faili, et edastada[.]sh
👉 – laadib ohvri seadmesse alla saidil oshi[.]at hostitud faili
🦊 – kogub ohvri seadmes olevad Mozilla Firefoxi profiilid ZIP-arhiivi
🕐 – teavitab ründajat, et käsku töödeldakse
🔥 – otsib ja filtreerib välja kindlate laienditega faile: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS ja ZIP
Pahavara loob Discordi serveris iga ohvri jaoks eraldi kanali, mis võimaldab ründajal nende kanalite kaudu iga ohvriga eraldi suhelda.
DISGOMOJI-ga varustatud erinevad versioonid näitavad võimaluste variatsioone
Teadlased on avastanud DISGOMOJI mitmesugused iteratsioonid, mis on varustatud täiustatud funktsioonidega, sealhulgas võime luua püsivust, takistada DISGOMOJI dubleerivate protsesside samaaegset käivitamist, dünaamiliselt hankida Discordi serveriühenduse mandaate käitusajal ja hägustada analüüse, esitades eksitavaid teabe- ja veateateid.
Lisaks on täheldatud, et ohutegija UTA0137 kasutab võrgu skannimise ja tunnelimise eesmärgil legitiimseid ja avatud lähtekoodiga tööriistu, nagu Nmap, Chisel ja Ligolo. Hiljutine kampaania kasutas ära DirtyPipe'i haavatavust (CVE-2022-0847), et saada Linuxi hostide privileege. Teine taktika pärast ärakasutamist hõlmab Zenity utiliidi kasutamist, et kuvada petturlik dialoogiboks, mis kujutab endast Firefoxi värskendust, mille eesmärk on petta kasutajaid oma paroole avaldama.
