DISGOMOJI kenkėjiška programa
Kibernetinio šnipinėjimo kampanija, nukreipta prieš Indijos vyriausybės subjektus 2024 m., buvo priskirta įtariamam grėsmės veikėjui, įsikūrusiam Pakistane. Saugumo ekspertai stebi šią kampaniją, identifikuotą kaip UTA0137, kurioje naudojama unikali kenkėjiška programa DISGOMOJI. Ši kenkėjiška programa, parašyta Golang kalba, skirta konkrečiai Linux sistemoms.
Turinys
DISGOMOJI išnaudoja teisėtą nesantaikos platformą
DISGOMOJI yra pritaikyta viešojo Discord-C2 projekto iteracija, naudojanti Discord pranešimų siuntimo paslaugą komandų ir valdymo (C2) operacijoms, su integruotomis emocijomis komunikacijai.
Įdomu tai, kad DISGOMOJI yra identiškas išsamus šnipinėjimo įrankis, kurį anksčiau nustatė kibernetinio saugumo tyrėjai atlikdami infrastruktūros analizę, susijusią su ataka, priskirta Skaidrios genties veikėjui, įsilaužėlių grupei, susijusiai su Pakistanu.
DISGOMOJI kenkėjiška programa valdoma naudojant „Discord Emojis“.
Ataka prasideda nuo sukčiavimo el. laiškų, kuriuose yra „Golang ELF“ dvejetainis failas, įtrauktas į ZIP archyvą. Vykdymo metu dvejetainis failas paima nekenksmingą apgaulės dokumentą, tuo pačiu metu diskretiškai atsisiunčiant DISGOMOJI naudingą apkrovą iš nuotolinio serverio.
DISGOMOJI, pritaikyta Discord-C2 versija, sukurta taip, kad rinktų pagrindinio kompiuterio duomenis ir vykdytų komandas iš užpuoliko valdomo Discord serverio. Jis juokiasi iš unikalaus metodo siųsti ir interpretuoti komandas naudojant įvairius jaustukus:
✅ – rodo komandos įvykdymą
💀 – nutraukia kenkėjiškų programų procesą aukos įrenginyje
🏃♂️ - Vykdo komandą aukos įrenginyje
📸 – padaroma aukos ekrano ekrano kopija
👇 – įkelia failą iš aukos įrenginio į kanalą
☝️ – atsisiunčia failą į aukos įrenginį
👈 – įkelia failą iš aukos įrenginio, kad būtų galima perkelti[.]sh
👉 – į aukos įrenginį atsisiunčia failą, priglobtą oshi[.]at
🦊 – surenka „Mozilla Firefox“ profilius aukos įrenginyje į ZIP archyvą
🕐 – informuoja užpuoliką, kad komanda apdorojama
🔥 – ieško ir išfiltruoja failus su konkrečiais plėtiniais: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS ir ZIP
Kenkėjiška programa „Discord“ serveryje kiekvienai aukai sukuria atskirą kanalą, leidžiantį užpuolikui per šiuos kanalus bendrauti su kiekviena auka atskirai.
Įvairios DISGOMOJI įrengtos versijos rodo galimybių variantus
Tyrėjai atrado įvairių DISGOMOJI iteracijų, aprūpintų pažangiomis funkcijomis, įskaitant galimybę nustatyti patvarumą, neleisti vienu metu vykdyti pasikartojančių DISGOMOJI procesų, dinamiškai nuskaityti „Discord“ serverio prisijungimo kredencialus vykdymo metu ir užmaskuoti analizę pateikiant klaidinančius informacinius ir klaidų pranešimus.
Be to, buvo pastebėta, kad grėsmės veikėjas UTA0137 tinklo nuskaitymo ir tuneliavimo tikslais naudoja teisėtus ir atvirojo kodo įrankius, tokius kaip Nmap, Chisel ir Ligolo. Neseniai vykusioje kampanijoje buvo išnaudotas „DirtyPipe“ pažeidžiamumas (CVE-2022-0847), siekiant įgyti privilegijų eskalavimą „Linux“ pagrindiniuose kompiuteriuose. Kita taktika po išnaudojimo apima „Zenity“ paslaugų programos naudojimą, kad būtų rodomas apgaulingas dialogo langas, vaizduojantis „Firefox“ naujinimą, kuriuo siekiama apgauti vartotojus atskleisti savo slaptažodžius.
