DISGOMOJI मैलवेयर

2024 में भारत सरकार की संस्थाओं को निशाना बनाने वाले साइबर जासूसी अभियान का श्रेय पाकिस्तान में बैठे एक संदिग्ध ख़तरा अभिनेता को दिया गया है। सुरक्षा विशेषज्ञ इस अभियान की निगरानी कर रहे हैं, जिसकी पहचान UTA0137 के रूप में की गई है, जो DISGOMOJI नामक एक अनोखे मैलवेयर का इस्तेमाल करता है। गोलांग में लिखा गया यह मैलवेयर खास तौर पर लिनक्स सिस्टम को निशाना बनाता है।

DISGOMOJI वैध डिस्कॉर्ड प्लेटफ़ॉर्म का फायदा उठाता है

DISGOMOJI सार्वजनिक डिस्कॉर्ड-C2 परियोजना का एक अनुकूलित संस्करण है, जो कमांड-एंड-कंट्रोल (C2) संचालन के लिए डिस्कॉर्ड संदेश सेवा का उपयोग करता है, जिसमें संचार के लिए इमोजी को एकीकृत किया गया है।

दिलचस्प बात यह है कि DISGOMOJI वही व्यापक जासूसी उपकरण है, जिसकी पहचान साइबर सुरक्षा शोधकर्ताओं ने पहले भी पाकिस्तान से जुड़े एक हैकिंग समूह ट्रांसपेरेंट ट्राइब एक्टर से जुड़े एक हमले से संबंधित बुनियादी ढांचे के विश्लेषण के दौरान की थी।

DISGOMOJI मैलवेयर को Discord इमोजी के माध्यम से नियंत्रित किया जाता है

यह हमला स्पीयर-फ़िशिंग ईमेल से शुरू होता है जिसमें एक ज़िप आर्काइव के भीतर एक गोलांग ईएलएफ बाइनरी शामिल होती है। निष्पादन के बाद, बाइनरी एक हानिरहित नकली दस्तावेज़ प्राप्त करता है जबकि रिमोट सर्वर से DISGOMOJI पेलोड को सावधानीपूर्वक डाउनलोड करता है।

DISGOMOJI, Discord-C2 का एक अनुकूलित संस्करण है, जिसे होस्ट डेटा एकत्र करने और हमलावर द्वारा नियंत्रित Discord सर्वर से कमांड निष्पादित करने के लिए डिज़ाइन किया गया है। यह विभिन्न इमोजी के माध्यम से कमांड भेजने और व्याख्या करने का एक अनूठा तरीका पेश करता है:

✅ - किसी आदेश के पूरा होने का संकेत देता है

💀 - पीड़ित के डिवाइस पर मैलवेयर प्रक्रिया को समाप्त करता है

🏃‍♂️ - पीड़ित के डिवाइस पर एक कमांड निष्पादित करता है

📸 - पीड़ित की स्क्रीन का स्क्रीनशॉट लेता है

👇 - पीड़ित के डिवाइस से चैनल पर फ़ाइल अपलोड करता है

☝️ - पीड़ित के डिवाइस पर फ़ाइल डाउनलोड करता है

👈 - पीड़ित के डिवाइस से एक फ़ाइल को ट्रांसफर करने के लिए अपलोड करता है[.]sh

👉 - oshi[.]at पर होस्ट की गई फ़ाइल को पीड़ित के डिवाइस पर डाउनलोड करता है

🦊 - पीड़ित के डिवाइस पर मोज़िला फ़ायरफ़ॉक्स प्रोफ़ाइल को एक ज़िप संग्रह में इकट्ठा करता है

🕐 - हमलावर को सूचित करता है कि आदेश पर कार्रवाई की जा रही है

🔥 - विशिष्ट एक्सटेंशन वाली फ़ाइलों को खोजता है और निकालता है: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, और ZIP

मैलवेयर प्रत्येक पीड़ित के लिए डिस्कॉर्ड सर्वर पर एक अलग चैनल स्थापित करता है, जिससे हमलावर को इन चैनलों के माध्यम से प्रत्येक पीड़ित के साथ व्यक्तिगत रूप से बातचीत करने की सुविधा मिलती है।

DISGOMOJI के विभिन्न संस्करण क्षमताओं में भिन्नता दर्शाते हैं

शोधकर्ताओं ने उन्नत सुविधाओं से लैस DISGOMOJI के विभिन्न संस्करणों की खोज की है, जिसमें दृढ़ता स्थापित करने की क्षमता, डुप्लिकेट DISGOMOJI प्रक्रियाओं के एक साथ निष्पादन को रोकने, रनटाइम पर डिस्कॉर्ड सर्वर कनेक्शन के लिए क्रेडेंशियल्स को गतिशील रूप से पुनर्प्राप्त करने और भ्रामक सूचनात्मक और त्रुटि संदेशों को प्रस्तुत करके विश्लेषण को अस्पष्ट करने की क्षमता शामिल है।

इसके अलावा, खतरा पैदा करने वाले UTA0137 को नेटवर्क स्कैनिंग और टनलिंग उद्देश्यों के लिए Nmap, Chisel और Ligolo जैसे वैध और ओपन-सोर्स टूल का लाभ उठाते हुए देखा गया है। हाल ही में एक अभियान ने Linux होस्ट पर विशेषाधिकार वृद्धि प्राप्त करने के लिए DirtyPipe भेद्यता (CVE-2022-0847) का फायदा उठाया। शोषण के बाद की एक और रणनीति में फ़ायरफ़ॉक्स अपडेट के रूप में प्रस्तुत एक धोखाधड़ी वाले डायलॉग बॉक्स को प्रदर्शित करने के लिए ज़ेनिटी उपयोगिता का उपयोग करना शामिल है, जिसका उद्देश्य उपयोगकर्ताओं को उनके पासवर्ड का खुलासा करने के लिए धोखा देना है।