תוכנה זדונית של DISGOMOJI

קמפיין ריגול סייבר המכוון לישויות ממשלתיות הודיות בשנת 2024 יוחס לחשוד בשחקן איום שבסיסו בפקיסטן. מומחי אבטחה עוקבים אחר מסע פרסום זה, המזוהה כ-UTA0137, שמשתמש בתוכנה זדונית ייחודית בשם DISGOMOJI. תוכנה זדונית זו, שנכתבה בגולאנג, מכוונת במיוחד למערכות לינוקס.

DISGOMOJI מנצלת את פלטפורמת הדיסקורד הלגיטימית

DISGOMOJI הוא איטרציה מותאמת אישית של פרויקט Discord-C2 הציבורי, תוך שימוש בשירות ההודעות של Discord עבור פעולות פיקוד ושליטה (C2), עם אימוג'ים משולבים לתקשורת.

מעניין לציין ש-DISGOMOJI הוא כלי הריגול המקיף הזהה שזוהה בעבר על ידי חוקרי אבטחת סייבר במהלך ניתוח תשתית הקשור למתקפה המיוחסת לשחקן השבט השקוף, קבוצת פריצה המקושרת לפקיסטן.

תוכנת זדונית DISGOMOJI נשלטת באמצעות Discord Emojis

המתקפה מתחילה בהודעות דוא"ל דיוג בחנית המכילות קובץ בינארי של Golang ELF סגור בארכיון ZIP. עם הביצוע, הבינארי מביא מסמך פתיל לא מזיק תוך הורדה דיסקרטית של מטען DISGOMOJI משרת מרוחק.

DISGOMOJI, גרסה מותאמת אישית של Discord-C2, מתוכננת לאסוף נתונים מארח ולבצע פקודות משרת Discord שנשלט על ידי התוקף. זה צוחק שיטה ייחודית לשלוח ולפרש פקודות באמצעות אימוג'ים שונים:

✅ - מציין השלמת פקודה

💀 - מפסיק את תהליך התוכנה הזדונית במכשיר של הקורבן

🏃‍♂️ - מבצע פקודה במכשיר של הקורבן

📸 - מצלם צילום מסך של המסך של הקורבן

👇 - מעלה קובץ מהמכשיר של הקורבן לערוץ

☝️ - הורדת קובץ למכשיר של הקורבן

👈 - מעלה קובץ מהמכשיר של הקורבן להעברת[.]sh

👉 - מוריד קובץ שמתארח ב- oshi[.]at למכשיר של הקורבן

- אוסף פרופילי Mozilla Firefox במכשיר של הקורבן לארכיון ZIP

🕐 - מודיע לתוקף שהפקודה מעובדת

🔥 - מחפש ומסנן קבצים עם הרחבות ספציפיות: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS ו-ZIP

התוכנה הזדונית מקימה ערוץ נפרד בשרת הדיסקורד עבור כל קורבן, ומאפשרת לתוקף ליצור אינטראקציה עם כל קורבן בנפרד דרך הערוצים הללו.

גרסאות שונות של DISGOMOJI מצוידות מציגות וריאציות ביכולות

חוקרים גילו איטרציות שונות של DISGOMOJI המצוידות בתכונות מתקדמות, כולל היכולת לבסס התמדה, למנוע ביצוע בו-זמני של תהליכי DISGOMOJI כפולים, לאחזר באופן דינמי אישורים לחיבור שרת Discord בזמן ריצה ולטשטש ניתוח על ידי הצגת הודעות מידע והודעות שגיאה מטעות.

בנוסף, שחקן האיום UTA0137 נצפה ממנף כלים לגיטימיים וקוד פתוח כגון Nmap, Chisel ו- Ligolo למטרות סריקת רשת ומנהור. מסע פרסום שנערך לאחרונה ניצל את הפגיעות של DirtyPipe (CVE-2022-0847) כדי להשיג הסלמה של הרשאות במארחי לינוקס. טקטיקה נוספת לאחר ניצול כרוכה בשימוש בכלי השירות Zenity כדי להציג תיבת דו-שיח הונאה המתחזה לעדכון פיירפוקס, במטרה להונות את המשתמשים לחשוף את הסיסמאות שלהם.