មេរោគ DISGOMOJI
យុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលផ្តោតលើអង្គភាពរដ្ឋាភិបាលឥណ្ឌាក្នុងឆ្នាំ 2024 ត្រូវបានគេសន្មតថាជាអ្នកគំរាមកំហែងដែលសង្ស័យមានមូលដ្ឋាននៅប្រទេសប៉ាគីស្ថាន។ អ្នកជំនាញផ្នែកសន្តិសុខកំពុងតាមដានយុទ្ធនាការនេះ ដែលត្រូវបានកំណត់ថាជា UTA0137 ដែលប្រើប្រាស់មេរោគពិសេសមួយដែលមានឈ្មោះថា DISGOMOJI។ មេរោគនេះដែលត្រូវបានសរសេរនៅក្នុង Golang កំណត់គោលដៅជាពិសេសទៅលើប្រព័ន្ធលីនុច។
តារាងមាតិកា
DISGOMOJI កេងប្រវ័ញ្ចលើវេទិកាជម្លោះស្របច្បាប់
DISGOMOJI គឺជាការប្ដូរតាមបំណងនៃគម្រោង Discord-C2 សាធារណៈ ដោយប្រើប្រាស់សេវាកម្មផ្ញើសារ Discord សម្រាប់ប្រតិបត្តិការ Command-and-Control (C2) ជាមួយនឹង emojis រួមបញ្ចូលគ្នាសម្រាប់ការទំនាក់ទំនង។
គួរឱ្យចាប់អារម្មណ៍ DISGOMOJI គឺជាឧបករណ៍ចារកម្មទូលំទូលាយដូចគ្នាដែលត្រូវបានកំណត់ពីមុនដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតក្នុងអំឡុងពេលការវិភាគហេដ្ឋារចនាសម្ព័ន្ធទាក់ទងនឹងការវាយប្រហារដែលសន្មតថាក្រុម Transparent Tribe ដែលជាក្រុមលួចចូលដែលភ្ជាប់ទៅប៉ាគីស្ថាន។
Malware DISGOMOJI ត្រូវបានគ្រប់គ្រងតាមរយៈ Discord Emojis
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹង spear-phishing emails ដែលមាន Golang ELF binary binary រុំព័ទ្ធក្នុង ZIP archive ។ នៅពេលប្រតិបត្តិ ប្រព័ន្ធគោលពីរយកឯកសារបញ្ឆោតដែលមិនបង្កគ្រោះថ្នាក់ ខណៈពេលដែលទាញយក DISGOMOJI payload ដោយប្រយ័ត្នប្រយែងពីម៉ាស៊ីនមេពីចម្ងាយ។
DISGOMOJI ដែលជាកំណែផ្ទាល់ខ្លួនរបស់ Discord-C2 ត្រូវបានបង្កើតឡើងដើម្បីប្រមូលទិន្នន័យម៉ាស៊ីន និងប្រតិបត្តិពាក្យបញ្ជាពីម៉ាស៊ីនមេ Discord ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ វាសើចជាវិធីសាស្រ្តតែមួយគត់ក្នុងការផ្ញើ និងបកស្រាយពាក្យបញ្ជាតាមរយៈ emojis ផ្សេងៗ៖
✅ - បង្ហាញពីការបំពេញពាក្យបញ្ជា
💀 - បញ្ចប់ដំណើរការមេរោគនៅលើឧបករណ៍របស់ជនរងគ្រោះ
🏃♂️ - ប្រតិបត្តិពាក្យបញ្ជានៅលើឧបករណ៍របស់ជនរងគ្រោះ
📸 - ថតរូបអេក្រង់របស់ជនរងគ្រោះ
👇 - ផ្ទុកឡើងឯកសារពីឧបករណ៍របស់ជនរងគ្រោះទៅឆានែល
☝️ - ទាញយកឯកសារទៅឧបករណ៍របស់ជនរងគ្រោះ
👈 - ផ្ទុកឡើងឯកសារពីឧបករណ៍របស់ជនរងគ្រោះដើម្បីផ្ទេរ[.]sh
👉 - ទាញយកឯកសារដែលបង្ហោះនៅលើ oshi[.] at ទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះ
🦊 - ប្រមូលផ្តុំទម្រង់ Mozilla Firefox នៅលើឧបករណ៍របស់ជនរងគ្រោះទៅក្នុងប័ណ្ណសារហ្ស៊ីប
🕐 - ជូនដំណឹងដល់អ្នកវាយប្រហារថាពាក្យបញ្ជាកំពុងដំណើរការ
🔥 - ស្វែងរក និងចម្រោះឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់៖ CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS និង ZIP
មេរោគនេះបង្កើតឆានែលដាច់ដោយឡែកមួយនៅលើម៉ាស៊ីនមេ Discord សម្រាប់ជនរងគ្រោះនីមួយៗ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើអន្តរកម្មជាមួយជនរងគ្រោះម្នាក់ៗតាមរយៈបណ្តាញទាំងនេះ។
កំណែផ្សេងគ្នានៃ DISGOMOJI បំពាក់បង្ហាញការប្រែប្រួលនៃសមត្ថភាព
អ្នកស្រាវជ្រាវបានរកឃើញការកែប្រែផ្សេងៗនៃ DISGOMOJI ដែលបំពាក់ដោយមុខងារកម្រិតខ្ពស់ រួមទាំងសមត្ថភាពក្នុងការបង្កើតភាពជាប់លាប់ ការពារការប្រតិបត្តិដំណាលគ្នានៃដំណើរការ DISGOMOJI ស្ទួន ទាញយកព័ត៌មានបញ្ជាក់យ៉ាងស្វាហាប់សម្រាប់ការភ្ជាប់ម៉ាស៊ីនមេ Discord នៅពេលដំណើរការ និងការវិភាគមិនច្បាស់លាស់ដោយបង្ហាញសារព័ត៌មានមិនពិត និងកំហុស។
លើសពីនេះទៀត តួអង្គគំរាមកំហែង UTA0137 ត្រូវបានគេសង្កេតឃើញប្រើប្រាស់ឧបករណ៍ប្រភពបើកចំហ និងស្របច្បាប់ដូចជា Nmap, Chisel និង Ligolo សម្រាប់គោលបំណងស្កេនបណ្តាញ និងផ្លូវរូងក្រោមដី។ យុទ្ធនាការថ្មីៗនេះបានទាញយកភាពងាយរងគ្រោះ DirtyPipe (CVE-2022-0847) ដើម្បីទទួលបានការកើនឡើងសិទ្ធិលើម៉ាស៊ីន Linux ។ ការកេងប្រវ័ញ្ចក្រោយកលល្បិចមួយទៀតពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ Zenity ដើម្បីបង្ហាញប្រអប់ក្លែងបន្លំដែលដាក់ថាជា Firefox អាប់ដេតក្នុងគោលបំណងបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបង្ហាញពាក្យសម្ងាត់របស់ពួកគេ។
