Perisian hasad DISGOMOJI
Kempen pengintipan siber yang menyasarkan entiti kerajaan India pada 2024 telah dikaitkan dengan pelakon ancaman yang disyaki berpangkalan di Pakistan. Pakar keselamatan memantau kempen ini, yang dikenal pasti sebagai UTA0137, yang menggunakan perisian hasad unik bernama DISGOMOJI. Malware ini, yang ditulis dalam Golang, menyasarkan sistem Linux secara khusus.
Isi kandungan
DISGOMOJI Mengeksploitasi Platform Perselisihan yang Sah
DISGOMOJI ialah lelaran tersuai bagi projek Discord-C2 awam, menggunakan perkhidmatan pemesejan Discord untuk operasi Perintah-dan-Kawalan (C2), dengan emoji disepadukan untuk komunikasi.
Menariknya, DISGOMOJI ialah alat pengintipan komprehensif yang sama yang sebelum ini dikenal pasti oleh penyelidik keselamatan siber semasa analisis infrastruktur yang berkaitan dengan serangan yang dikaitkan dengan pelakon Transparent Tribe, kumpulan penggodaman yang dikaitkan dengan Pakistan.
Malware DISGOMOJI Dikawal melalui Discord Emojis
Serangan bermula dengan e-mel spear-phishing yang mengandungi binari ELF Golang yang disertakan dalam arkib ZIP. Selepas pelaksanaan, binari mengambil dokumen umpan yang tidak berbahaya sambil memuat turun muatan DISGOMOJI secara diam-diam daripada pelayan jauh.
DISGOMOJI, versi tersuai Discord-C2, direka bentuk untuk mengumpulkan data hos dan melaksanakan arahan daripada pelayan Discord yang dikawal oleh penyerang. Ia mentertawakan kaedah unik untuk menghantar dan mentafsir arahan melalui pelbagai emoji:
✅ - Menunjukkan selesainya sesuatu arahan
💀 - Menamatkan proses perisian hasad pada peranti mangsa
🏃♂️ - Melaksanakan arahan pada peranti mangsa
📸 - Mengambil tangkapan skrin skrin mangsa
👇 - Memuat naik fail dari peranti mangsa ke saluran
☝️ - Memuat turun fail ke peranti mangsa
👈 - Memuat naik fail daripada peranti mangsa untuk memindahkan[.]sh
👉 - Memuat turun fail yang dihoskan pada oshi[.]at ke peranti mangsa
🦊 - Mengumpul profil Mozilla Firefox pada peranti mangsa ke dalam arkib ZIP
🕐 - Memaklumkan penyerang bahawa arahan sedang diproses
🔥 - Mencari dan mengeluarkan fail dengan sambungan khusus: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS dan ZIP
Malware mewujudkan saluran berasingan pada pelayan Discord untuk setiap mangsa, membenarkan penyerang berinteraksi dengan setiap mangsa secara individu melalui saluran ini.
Versi Berbeza DISGOMOJI Dilengkapi Tunjukkan Variasi dalam Keupayaan
Penyelidik telah menemui pelbagai lelaran DISGOMOJI yang dilengkapi dengan ciri termaju, termasuk keupayaan untuk mewujudkan kegigihan, menghalang pelaksanaan serentak proses DISGOMOJI pendua, mendapatkan semula kelayakan secara dinamik untuk sambungan pelayan Discord pada masa jalanan dan analisis mengelirukan dengan menyampaikan mesej maklumat dan ralat yang mengelirukan.
Di samping itu, pelaku ancaman UTA0137 telah diperhatikan memanfaatkan alatan yang sah dan sumber terbuka seperti Nmap, Chisel dan Ligolo untuk tujuan pengimbasan dan terowong rangkaian. Kempen baru-baru ini mengeksploitasi kelemahan DirtyPipe (CVE-2022-0847) untuk mendapatkan peningkatan keistimewaan pada hos Linux. Satu lagi taktik pasca eksploitasi melibatkan penggunaan utiliti Zenity untuk memaparkan kotak dialog penipuan yang menyamar sebagai kemas kini Firefox, bertujuan untuk menipu pengguna supaya mendedahkan kata laluan mereka.
