DISGOMOJI 악성코드

2024년 인도 정부 기관을 표적으로 삼은 사이버 스파이 활동은 파키스탄에 기반을 둔 위협 행위자로 의심되는 것으로 나타났습니다. 보안 전문가들은 DISGOMOJI라는 고유한 악성 코드를 사용하는 UTA0137로 식별된 이 캠페인을 모니터링하고 있습니다. Golang으로 작성된 이 악성코드는 특히 Linux 시스템을 표적으로 삼습니다.

DISGOMOJI는 합법적인 Discord 플랫폼을 악용합니다.

DISGOMOJI는 명령 및 제어(C2) 작업을 위한 Discord 메시징 서비스를 활용하고 통신용 이모티콘이 통합된 공개 Discord-C2 프로젝트의 맞춤형 반복입니다.

흥미롭게도 DISGOMOJI는 이전에 파키스탄과 연결된 해킹 그룹인 Transparent Tribe 행위자에 의한 공격과 관련된 인프라 분석 중에 사이버 보안 연구원들이 식별한 것과 동일한 포괄적인 스파이 도구입니다.

DISGOMOJI 악성코드는 Discord Emojis를 통해 제어됩니다

공격은 ZIP 아카이브에 포함된 Golang ELF 바이너리가 포함된 스피어 피싱 이메일로 시작됩니다. 실행 시 바이너리는 원격 서버에서 DISGOMOJI 페이로드를 은밀하게 다운로드하는 동안 무해한 미끼 문서를 가져옵니다.

Discord-C2의 맞춤형 버전인 DISGOMOJI는 공격자가 제어하는 Discord 서버에서 호스트 데이터를 수집하고 명령을 실행하도록 설계되었습니다. 다양한 이모티콘을 통해 명령을 보내고 해석하는 독특한 방법을 웃깁니다.

✅ - 명령 완료를 나타냅니다.

💀 - 피해자 기기에서 악성 코드 프로세스를 종료합니다.

🏃‍♂️ - 피해자의 장치에서 명령을 실행합니다.

📸 - 피해자 화면을 캡쳐합니다.

👇 - 피해자의 기기에서 채널로 파일을 업로드합니다.

☝️ - 피해자의 기기에 파일을 다운로드합니다.

👈 - 피해자의 기기에서 파일을 업로드하여 전송합니다.[.]sh

👉 - oshi[.]at에서 호스팅되는 파일을 피해자의 기기에 다운로드합니다.

🦊 - 피해자 기기의 Mozilla Firefox 프로필을 ZIP 아카이브로 수집합니다.

🕐 - 공격자에게 명령이 처리되고 있음을 알립니다.

🔥 - 특정 확장자를 가진 파일을 검색하고 추출합니다: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP

이 악성코드는 각 피해자를 위해 Discord 서버에 별도의 채널을 설정하여 공격자가 이러한 채널을 통해 각 피해자와 개별적으로 상호 작용할 수 있도록 합니다.

DISGOMOJI가 장착된 다양한 버전의 기능 차이를 보여줍니다.

연구원들은 지속성 설정, 중복 DISGOMOJI 프로세스의 동시 실행 방지, 런타임 시 Discord 서버 연결을 위한 자격 증명 동적으로 검색, 오해의 소지가 있는 정보 및 오류 메시지를 표시하여 분석을 난독화하는 기능을 포함한 고급 기능을 갖춘 DISGOMOJI의 다양한 반복을 발견했습니다.

또한 위협 행위자 UTA0137은 네트워크 스캐닝 및 터널링 목적으로 Nmap, Chisel 및 Ligolo와 같은 합법적인 오픈 소스 도구를 활용하는 것으로 관찰되었습니다. 최근 캠페인에서는 DirtyPipe 취약점(CVE-2022-0847)을 악용하여 Linux 호스트에서 권한 상승을 얻었습니다. 공격 후 또 다른 전술은 Zenity 유틸리티를 사용하여 Firefox 업데이트인 것처럼 위장한 사기 대화 상자를 표시하여 사용자를 속여 비밀번호를 공개하도록 하는 것입니다.