DISGOMOJI Malware
Kampanja kibernetičke špijunaže usmjerena na entitete indijske vlade 2024. pripisana je osumnjičenom akteru prijetnje sa sjedištem u Pakistanu. Sigurnosni stručnjaci nadziru ovu kampanju, identificiranu kao UTA0137, koja koristi jedinstveni zlonamjerni softver pod nazivom DISGOMOJI. Ovaj malware, napisan u Golangu, posebno cilja Linux sustave.
Sadržaj
DISGOMOJI iskorištava platformu Legitimate Discord
DISGOMOJI je prilagođena iteracija javnog Discord-C2 projekta, koji koristi Discord servis za razmjenu poruka za Command-and-Control (C2) operacije, s integriranim emotikonom za komunikaciju.
Zanimljivo, DISGOMOJI je identičan sveobuhvatni alat za špijunažu koji su prethodno identificirali istraživači kibernetičke sigurnosti tijekom analize infrastrukture povezane s napadom koji se pripisuje akteru Transparent Tribe, hakerskoj skupini povezanoj s Pakistanom.
Zlonamjerni softver DISGOMOJI kontrolira se putem Discord Emojija
Napad počinje s spear-phishing e-porukama koje sadrže Golang ELF binarnu datoteku zatvorenu u ZIP arhivi. Nakon izvršenja, binarna datoteka dohvaća bezopasni dokument mamac dok diskretno preuzima DISGOMOJI korisni teret s udaljenog poslužitelja.
DISGOMOJI, prilagođena verzija Discord-C2, dizajnirana je za prikupljanje podataka o hostu i izvršavanje naredbi s Discord poslužitelja kojim upravlja napadač. Smije jedinstvenu metodu slanja i tumačenja naredbi kroz razne emojije:
✅ - Označava završetak naredbe
💀 - Prekida proces zlonamjernog softvera na žrtvinom uređaju
🏃♂️ - Izvršava naredbu na žrtvinom uređaju
📸 - Snima snimku zaslona žrtve
👇 - Učitava datoteku sa žrtvinog uređaja na kanal
☝️ - preuzima datoteku na žrtvin uređaj
👈 - prenosi datoteku sa žrtvinog uređaja za prijenos[.]sh
👉 - preuzima datoteku hostiranu na oshi[.]at na žrtvin uređaj
🦊 - Skuplja Mozilla Firefox profile na žrtvinom uređaju u ZIP arhivu
🕐 - Obavještava napadača da se naredba obrađuje
🔥 - Pretražuje i izdvaja datoteke s određenim ekstenzijama: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS i ZIP
Zlonamjerni softver uspostavlja zasebni kanal na Discord poslužitelju za svaku žrtvu, dopuštajući napadaču interakciju sa svakom žrtvom pojedinačno putem tih kanala.
Različite verzije opreme opremljene DISGOMOJI pokazuju varijacije u mogućnostima
Istraživači su otkrili različite iteracije DISGOMOJI-ja opremljene naprednim značajkama, uključujući mogućnost uspostavljanja postojanosti, sprječavanja istovremenog izvršavanja duplikata DISGOMOJI procesa, dinamičkog dohvaćanja vjerodajnica za povezivanje s Discord poslužiteljem tijekom izvođenja i zamagljivanja analize predstavljanjem pogrešnih informacija i poruka o pogrešci.
Osim toga, uočeno je da akter prijetnje UTA0137 koristi legitimne alate otvorenog koda kao što su Nmap, Chisel i Ligolo za potrebe skeniranja mreže i tuneliranja. Nedavna kampanja iskoristila je ranjivost DirtyPipe (CVE-2022-0847) kako bi se dobila eskalacija privilegija na Linux hostovima. Druga taktika nakon iskorištavanja uključuje korištenje uslužnog programa Zenity za prikaz lažnog dijaloškog okvira koji se predstavlja kao ažuriranje Firefoxa, s ciljem prevare korisnika da otkriju svoje lozinke.
