DISGOMOJI Haittaohjelma
Intian hallituksen yksiköihin vuonna 2024 suunnatun kybervakoilukampanjan on katsottu olevan Pakistanissa sijaitsevan epäillyn uhkatekijän syynä. Tietoturvaasiantuntijat seuraavat tätä kampanjaa, joka on tunnistettu UTA0137:ksi ja joka käyttää ainutlaatuista DISGOMOJI-nimistä haittaohjelmaa. Tämä Golangilla kirjoitettu haittaohjelma kohdistuu erityisesti Linux-järjestelmiin.
Sisällysluettelo
DISGOMOJI hyödyntää Legitimate Discord Platformia
DISGOMOJI on julkisen Discord-C2-projektin räätälöity iteraatio, joka käyttää Discord-viestipalvelua Command-and-Control (C2) -toimintoihin, ja emojit on integroitu viestintään.
Mielenkiintoista on, että DISGOMOJI on identtinen kattava vakoilutyökalu, jonka kyberturvallisuustutkijat tunnistivat aiemmin infrastruktuuri-analyysissä, joka liittyy Transparent Tribe -toimijaan, Pakistaniin liittyvään hakkerointiryhmään.
DISGOMOJI-haittaohjelmaa ohjataan Discord-emojien kautta
Hyökkäys alkaa keihään kalasteluviesteillä, jotka sisältävät ZIP-arkiston sisällä olevan Golang ELF -binaarin. Suorituksen yhteydessä binaari hakee vaarattoman houkutusasiakirjan ja lataa samalla huomaamattomasti DISGOMOJI-hyötykuorman etäpalvelimelta.
DISGOMOJI, Discord-C2:n mukautettu versio, on suunniteltu keräämään isäntätietoja ja suorittamaan komentoja hyökkääjän hallitsemalta Discord-palvelimelta. Se nauraa ainutlaatuiselle menetelmälle lähettää ja tulkita komentoja eri emojien kautta:
✅ - Ilmaisee komennon suorittamisen
💀 - Lopettaa haittaohjelmaprosessin uhrin laitteessa
🏃♂️ - Suorittaa komennon uhrin laitteessa
📸 - Ottaa kuvakaappauksen uhrin näytöstä
👇 - Lataa tiedoston uhrin laitteelta kanavalle
☝️ - Lataa tiedoston uhrin laitteelle
👈 - Lataa tiedoston uhrin laitteesta siirrettäväksi[.]sh
👉 - Lataa oshi[.]at-palvelimella isännöidyn tiedoston uhrin laitteelle
🦊 - Kerää Mozilla Firefox -profiilit uhrin laitteelta ZIP-arkistoon
🕐 - Ilmoittaa hyökkääjälle, että komentoa käsitellään
🔥 - Etsii ja suodattaa tiedostoja tietyillä tunnisteilla: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS ja ZIP
Haittaohjelma perustaa Discord-palvelimelle erillisen kanavan jokaiselle uhrille, jolloin hyökkääjä voi olla vuorovaikutuksessa kunkin uhrin kanssa erikseen näiden kanavien kautta.
DISGOMOJI-varustetun eri versiot näyttävät vaihteluita ominaisuuksissa
Tutkijat ovat löytäneet erilaisia DISGOMOJI:n iteraatioita, jotka on varustettu edistyneillä ominaisuuksilla, mukaan lukien kyky luoda pysyvyys, estää päällekkäisten DISGOMOJI-prosessien samanaikainen suorittaminen, dynaamisesti noutaa tunnistetiedot Discord-palvelinyhteydelle ajon aikana ja hämärtää analyysi esittämällä harhaanjohtavia tietoja ja virheilmoituksia.
Lisäksi uhkatekijä UTA0137 on havaittu hyödyntävän laillisia ja avoimen lähdekoodin työkaluja, kuten Nmap, Chisel ja Ligolo, verkkoskannaus- ja tunnelointitarkoituksiin. Äskettäisessä kampanjassa hyödynnettiin DirtyPipe-haavoittuvuutta (CVE-2022-0847) Linux-isäntien käyttöoikeuksien laajentamiseksi. Toinen hyväksikäytön jälkeinen taktiikka sisältää Zenity-apuohjelman käyttämisen petollisen valintaikkunan näyttämiseen Firefoxin päivityksenä, jonka tarkoituksena on huijata käyttäjiä paljastamaan salasanansa.
