بدافزار DISGOMOJI

یک کمپین جاسوسی سایبری که نهادهای دولتی هند را در سال 2024 هدف قرار داده است به یک عامل تهدید مظنون مستقر در پاکستان نسبت داده شده است. کارشناسان امنیتی در حال نظارت بر این کمپین با نام UTA0137 هستند که از بدافزار منحصر به فردی به نام DISGOMOJI استفاده می کند. این بدافزار که به زبان Golang نوشته شده است، به طور خاص سیستم های لینوکس را هدف قرار می دهد.

DISGOMOJI از پلتفرم اختلاف مشروع سوء استفاده می کند

DISGOMOJI یک تکرار سفارشی شده از پروژه عمومی Discord-C2 است که از سرویس پیام رسانی Discord برای عملیات فرماندهی و کنترل (C2) با ایموجی های یکپارچه برای ارتباط استفاده می کند.

جالب اینجاست که DISGOMOJI همان ابزار جاسوسی جامعی است که قبلاً توسط محققان امنیت سایبری در طول تجزیه و تحلیل زیرساخت مربوط به حمله منتسب به بازیگر Transparent Tribe، یک گروه هکر مرتبط با پاکستان، شناسایی شده بود.

بدافزار DISGOMOJI از طریق Discord Emojis کنترل می شود

این حمله با ایمیل‌های فیشینگ نیزه‌ای شروع می‌شود که حاوی یک باینری Golang ELF محصور در یک آرشیو ZIP است. پس از اجرا، باینری یک سند فریب بی ضرر واکشی می کند در حالی که محتاطانه بار DISGOMOJI را از یک سرور راه دور دانلود می کند.

DISGOMOJI، یک نسخه سفارشی شده از Discord-C2، برای جمع آوری داده های میزبان و اجرای دستورات از سرور Discord که توسط مهاجم کنترل می شود، مهندسی شده است. روشی منحصر به فرد برای ارسال و تفسیر دستورات از طریق ایموجی های مختلف می خندد:

✅ - نشان دهنده تکمیل یک فرمان است

💀 - فرآیند بدافزار را در دستگاه قربانی خاتمه می دهد

🏃‍♂️ - فرمانی را در دستگاه قربانی اجرا می کند

📸 - از صفحه قربانی اسکرین شات می گیرد

👇 - فایلی را از دستگاه قربانی در کانال آپلود می کند

☝️ - فایلی را در دستگاه قربانی دانلود می کند

👈 - فایلی را از دستگاه قربانی برای انتقال[.]sh آپلود می کند

👉 - یک فایل میزبانی شده در oshi[.]at را در دستگاه قربانی دانلود می کند

🦊 - نمایه های Mozilla Firefox را در دستگاه قربانی در یک بایگانی ZIP جمع آوری می کند

🕐 - به مهاجم اطلاع می دهد که دستور در حال پردازش است

🔥 - فایل ها را با پسوندهای خاص جستجو و استخراج می کند: CSV، DOC، ISO، JPG، ODP، ODS، ODT، PDF، PPT، RAR، SQL، TAR، XLS، و ZIP

این بدافزار یک کانال مجزا در سرور Discord برای هر قربانی ایجاد می کند و به مهاجم اجازه می دهد تا از طریق این کانال ها با هر قربانی به صورت جداگانه تعامل داشته باشد.

نسخه های مختلف DISGOMOJI تجهیز شده، تنوع در قابلیت ها را نشان می دهد

محققان تکرارهای مختلفی از DISGOMOJI مجهز به ویژگی های پیشرفته را کشف کرده اند، از جمله توانایی ایجاد پایداری، جلوگیری از اجرای همزمان فرآیندهای تکراری DISGOMOJI، بازیابی پویا اعتبار برای اتصال سرور Discord در زمان اجرا و مبهم کردن تجزیه و تحلیل با ارائه پیام های اطلاعاتی و خطای گمراه کننده.

علاوه بر این، عامل تهدید UTA0137 مشاهده شده است که از ابزارهای قانونی و منبع باز مانند Nmap، Chisel و Ligolo برای اهداف اسکن شبکه و تونل زنی استفاده می کند. یک کمپین اخیر از آسیب‌پذیری DirtyPipe (CVE-2022-0847) برای افزایش امتیاز در میزبان‌های لینوکس سوء استفاده کرد. یکی دیگر از تاکتیک‌های پس از بهره‌برداری شامل استفاده از ابزار Zenity برای نمایش یک کادر محاوره‌ای جعلی که به‌عنوان به‌روزرسانی فایرفاکس است، با هدف فریب دادن کاربران به افشای رمزهای عبورشان است.