DISGOMOJI ļaunprātīga programmatūra
Kiberspiegošanas kampaņa, kas 2024. gadā bija vērsta pret Indijas valdības struktūrām, tiek attiecināta uz kādu aizdomās turēto apdraudējumu, kas atrodas Pakistānā. Drošības eksperti uzrauga šo kampaņu, kas identificēta kā UTA0137 un kurā tiek izmantota unikāla ļaunprogrammatūra ar nosaukumu DISGOMOJI. Šī ļaunprogrammatūra, kas rakstīta Golang valodā, ir īpaši paredzēta Linux sistēmām.
Satura rādītājs
DISGOMOJI izmanto likumīgo nesaskaņu platformu
DISGOMOJI ir pielāgota publiskā Discord-C2 projekta iterācija, kurā tiek izmantots Discord ziņojumapmaiņas pakalpojums Command-and-Control (C2) operācijām, un saziņai ir integrētas emocijzīmes.
Interesanti, ka DISGOMOJI ir identisks visaptverošs spiegošanas rīks, ko iepriekš identificēja kiberdrošības pētnieki, veicot infrastruktūras analīzi, kas saistīta ar uzbrukumu, kas attiecināts uz Caurspīdīgās cilts aktieri, hakeru grupu, kas saistīta ar Pakistānu.
DISGOMOJI ļaunprogrammatūra tiek kontrolēta, izmantojot Discord Emojis
Uzbrukums sākas ar pikšķerēšanas e-pastiem, kas satur Golang ELF bināro failu, kas ievietots ZIP arhīvā. Pēc izpildes binārais fails ienes nekaitīgu mānekļu dokumentu, vienlaikus diskrēti lejupielādējot DISGOMOJI lietderīgo slodzi no attālā servera.
DISGOMOJI, pielāgota Discord-C2 versija, ir izstrādāta, lai apkopotu resursdatora datus un izpildītu komandas no Discord servera, kuru kontrolē uzbrucējs. Tā smejas par unikālu komandu nosūtīšanas un interpretēšanas metodi, izmantojot dažādas emocijzīmes:
✅ - norāda komandas izpildi
💀 - izbeidz ļaunprātīgas programmatūras procesu upura ierīcē
🏃♂️ — izpilda komandu upura ierīcē
📸 Uzņem upura ekrāna ekrānuzņēmumu
👇 - augšupielādē failu no upura ierīces kanālā
☝️ - Lejupielādē failu upura ierīcē
👈 - augšupielādē failu no upura ierīces, lai pārsūtītu[.]sh
👉 — upura ierīcē lejupielādē failu, kas mitināts vietnē oshi[.]at
🦊 — apkopo Mozilla Firefox profilus cietušā ierīcē ZIP arhīvā
🕐 — informē uzbrucēju, ka komanda tiek apstrādāta
🔥 - meklē un izfiltrē failus ar noteiktiem paplašinājumiem: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS un ZIP
Ļaunprātīga programmatūra katram upurim izveido atsevišķu kanālu Discord serverī, ļaujot uzbrucējam mijiedarboties ar katru upuri atsevišķi, izmantojot šos kanālus.
Dažādas DISGOMOJI aprīkotas versijas parāda iespēju variācijas
Pētnieki ir atklājuši dažādas DISGOMOJI iterācijas, kas aprīkotas ar uzlabotām funkcijām, tostarp spēju noteikt noturību, novērst vienlaicīgu dublētu DISGOMOJI procesu izpildi, dinamiski izgūt akreditācijas datus Discord servera savienojumam izpildlaikā un aptumšot analīzi, parādot maldinošus informatīvus un kļūdu ziņojumus.
Turklāt ir novērots, ka apdraudējuma veidotājs UTA0137 tīkla skenēšanas un tunelēšanas nolūkos izmanto likumīgus un atvērtā pirmkoda rīkus, piemēram, Nmap, Chisel un Ligolo. Nesenā kampaņā tika izmantota DirtyPipe ievainojamība (CVE-2022-0847), lai iegūtu privilēģiju eskalāciju Linux resursdatoros. Vēl viena pēcekspluatācijas taktika ietver Zenity utilīta izmantošanu, lai parādītu krāpniecisku dialoglodziņu, kas tiek attēlots kā Firefox atjauninājums, kura mērķis ir maldināt lietotājus, lai tie atklātu savas paroles.
