DISGOMOJIMalware
Una campagna di cyberspionaggio contro entità governative indiane nel 2024 è stata attribuita a un sospetto attore di minacce con sede in Pakistan. Gli esperti di sicurezza stanno monitorando questa campagna, identificata come UTA0137, che utilizza un malware unico chiamato DISGOMOJI. Questo malware, scritto in Golang, prende di mira specificamente i sistemi Linux.
Sommario
DISGOMOJI sfrutta la piattaforma Discord legittima
DISGOMOJI è un'iterazione personalizzata del progetto pubblico Discord-C2, che utilizza il servizio di messaggistica Discord per operazioni di comando e controllo (C2), con emoji integrati per la comunicazione.
È interessante notare che DISGOMOJI è lo stesso strumento di spionaggio completo precedentemente identificato dai ricercatori di sicurezza informatica durante un'analisi dell'infrastruttura relativa a un attacco attribuito all'attore Transparent Tribe, un gruppo di hacker legato al Pakistan.
Il malware DISGOMOJI è controllato tramite Discord Emoji
L'attacco inizia con e-mail di spear phishing contenenti un binario ELF Golang racchiuso in un archivio ZIP. Al momento dell'esecuzione, il codice binario recupera un documento esca innocuo mentre scarica discretamente il payload DISGOMOJI da un server remoto.
DISGOMOJI, una versione personalizzata di Discord-C2, è progettata per raccogliere dati host ed eseguire comandi da un server Discord controllato dall'aggressore. Ride un metodo unico per inviare e interpretare i comandi attraverso vari emoji:
✅ - Indica il completamento di un comando
💀 - Interrompe il processo malware sul dispositivo della vittima
🏃♂️ - Esegue un comando sul dispositivo della vittima
📸 - Cattura uno screenshot dello schermo della vittima
👇 - Carica un file dal dispositivo della vittima al canale
☝️ - Scarica un file sul dispositivo della vittima
👈 - Carica un file dal dispositivo della vittima per trasferirlo[.]sh
👉 - Scarica un file ospitato su oshi[.]at sul dispositivo della vittima
🦊 - Raccoglie i profili Mozilla Firefox sul dispositivo della vittima in un archivio ZIP
🕐 - Informa l'aggressore che il comando è in fase di elaborazione
🔥 - Cerca ed estrae file con estensioni specifiche: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS e ZIP
Il malware stabilisce un canale separato sul server Discord per ciascuna vittima, consentendo all'aggressore di interagire individualmente con ciascuna vittima attraverso questi canali.
Diverse versioni di DISGOMOJI equipaggiate mostrano variazioni nelle capacità
I ricercatori hanno scoperto varie iterazioni di DISGOMOJI dotate di funzionalità avanzate, tra cui la capacità di stabilire la persistenza, impedire l'esecuzione simultanea di processi DISGOMOJI duplicati, recuperare dinamicamente le credenziali per la connessione al server Discord in fase di runtime e offuscare l'analisi presentando messaggi informativi e di errore fuorvianti.
Inoltre, è stato osservato che l'autore della minaccia UTA0137 sfrutta strumenti legittimi e open source come Nmap, Chisel e Ligolo per scopi di scansione e tunneling della rete. Una recente campagna ha sfruttato la vulnerabilità DirtyPipe (CVE-2022-0847) per ottenere l’escalation dei privilegi sugli host Linux. Un'altra tattica post-sfruttamento prevede l'utilizzo dell'utilità Zenity per visualizzare una finestra di dialogo fraudolenta che si spaccia per un aggiornamento di Firefox, con l'obiettivo di ingannare gli utenti inducendoli a rivelare le proprie password.
