DISGOMOJI rosszindulatú program
Egy 2024-ben indiai kormányzati szerveket célzó kiberkémkampányt egy pakisztáni székhelyű feltételezett fenyegető szereplőnek tulajdonítottak. Biztonsági szakértők figyelik ezt az UTA0137 néven azonosított kampányt, amely egy egyedi, DISGOMOJI nevű kártevőt alkalmaz. Ez a Golang nyelven írt rosszindulatú program kifejezetten Linux rendszereket céloz meg.
Tartalomjegyzék
A DISGOMOJI kihasználja a Legitimate Discord Platformot
A DISGOMOJI a nyilvános Discord-C2 projekt testreszabott iterációja, amely a Discord üzenetküldő szolgáltatást használja a Command-and-Control (C2) műveletekhez, kommunikációhoz integrált hangulatjelekkel.
Érdekes módon a DISGOMOJI az az azonos átfogó kémeszköz, amelyet korábban a kiberbiztonsági kutatók azonosítottak egy olyan támadás során, amely egy Pakisztánhoz köthető hackercsoport, az Átlátszó törzs szereplőjének tulajdonított támadáshoz kapcsolódik.
A DISGOMOJI malware-t Discord hangulatjelek vezérlik
A támadás olyan adathalász e-mailekkel kezdődik, amelyek egy ZIP-archívumban található Golang ELF bináris fájlt tartalmaznak. Végrehajtáskor a bináris lekér egy ártalmatlan csali dokumentumot, miközben diszkréten letölti a DISGOMOJI rakományt egy távoli szerverről.
A DISGOMOJI, a Discord-C2 testreszabott változata úgy lett kialakítva, hogy a támadó által vezérelt Discord-szerverről gyűjtse össze a gazdagépadatokat és hajtson végre parancsokat. Nevet egy egyedülálló módszert a parancsok küldésére és értelmezésére különféle hangulatjeleken keresztül:
✅ - Egy parancs teljesítését jelzi
💀 - Leállítja a kártevő folyamatot az áldozat eszközén
🏃♂️ - Parancsot hajt végre az áldozat eszközén
📸 - Képernyőképet készít az áldozat képernyőjéről
👇 - Fájlokat tölt fel az áldozat eszközéről a csatornára
☝️ - Fájl letöltése az áldozat eszközére
👈 - Feltölt egy fájlt az áldozat eszközéről az átvitelhez[.]sh
👉 – Letölti az oshi[.]at webhelyen tárolt fájlt az áldozat eszközére
🦊 - Összegyűjti az áldozat eszközén lévő Mozilla Firefox profilokat egy ZIP-archívumban
🕐 – Értesíti a támadót, hogy a parancs feldolgozása folyamatban van
🔥 - Adott kiterjesztésű fájlokat keres és kiszűri: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS és ZIP
A rosszindulatú program minden áldozat számára külön csatornát hoz létre a Discord szerveren, lehetővé téve a támadó számára, hogy ezeken a csatornákon keresztül egyénileg lépjen kapcsolatba minden áldozattal.
A DISGOMOJI-val felszerelt különböző verziók képességváltozatokat mutatnak be
A kutatók a DISGOMOJI különféle iterációit fedezték fel, amelyek fejlett funkciókkal vannak felszerelve, beleértve a perzisztencia megteremtésének képességét, a duplikált DISGOMOJI folyamatok egyidejű végrehajtásának megakadályozását, a Discord-szerverkapcsolat hitelesítő adatainak dinamikus lekérését futás közben, valamint a félrevezető információs és hibaüzenetek megjelenítésével az elemzés homályosítását.
Ezenkívül megfigyelték, hogy az UTA0137 fenyegetettség legális és nyílt forráskódú eszközöket, például az Nmap-et, a Chisel-t és a Ligolo-t használja fel hálózati szkennelési és alagútépítési célokra. Egy közelmúltbeli kampány a DirtyPipe sebezhetőségét (CVE-2022-0847) használta ki, hogy jogosultságokat szerezzen a Linux gazdagépeken. A kizsákmányolást követő másik taktika a Zenity segédprogram használata a Firefox-frissítésnek tűnő, csaló párbeszédpanel megjelenítésére, amelynek célja a felhasználók megtévesztése jelszavaik felfedésére.
