DISGOMOJI Skadelig programvare
En nettspionasjekampanje rettet mot indiske myndigheter i 2024 har blitt tilskrevet en mistenkt trusselaktør med base i Pakistan. Sikkerhetseksperter overvåker denne kampanjen, identifisert som UTA0137, som bruker en unik skadelig programvare kalt DISGOMOJI. Denne skadevare, skrevet i Golang, retter seg spesifikt mot Linux-systemer.
Innholdsfortegnelse
DISGOMOJI utnytter den legitime Discord-plattformen
DISGOMOJI er en tilpasset iterasjon av det offentlige Discord-C2-prosjektet, som bruker Discord-meldingstjenesten for Command-and-Control (C2) operasjoner, med emojis integrert for kommunikasjon.
Interessant nok er DISGOMOJI det identiske omfattende spionasjeverktøyet som tidligere ble identifisert av cybersikkerhetsforskere under en infrastrukturanalyse relatert til et angrep tilskrevet Transparent Tribe-aktøren, en hackergruppe knyttet til Pakistan.
DISGOMOJI Malware kontrolleres via Discord Emojis
Angrepet begynner med spyd-phishing-e-poster som inneholder en Golang ELF-binær som er innelukket i et ZIP-arkiv. Ved kjøring henter binærfilen et harmløst lokkedokument mens den diskret laster ned DISGOMOJI-nyttelasten fra en ekstern server.
DISGOMOJI, en tilpasset versjon av Discord-C2, er konstruert for å samle vertsdata og utføre kommandoer fra en Discord-server kontrollert av angriperen. Det ler en unik metode for å sende og tolke kommandoer gjennom forskjellige emojier:
✅ - Indikerer fullføring av en kommando
💀 - Avslutter skadevareprosessen på offerets enhet
🏃♂️ - Utfører en kommando på offerets enhet
📸 - Tar et skjermbilde av offerets skjerm
👇 - Laster opp en fil fra offerets enhet til kanalen
☝️ - Laster ned en fil til offerets enhet
👈 - Laster opp en fil fra offerets enhet for å overføre[.]sh
👉 - Laster ned en fil hostet på oshi[.]at til offerets enhet
Dette samler Mozilla Firefox-profiler på offerets enhet til et ZIP-arkiv
🕐 - Informerer angriperen om at kommandoen blir behandlet
🔥 - Søker etter og eksfiltrerer filer med spesifikke utvidelser: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS og ZIP
Skadevaren etablerer en egen kanal på Discord-serveren for hvert offer, slik at angriperen kan samhandle med hvert offer individuelt gjennom disse kanalene.
Ulike versjoner av DISGOMOJI-utstyrt viser variasjoner i evner
Forskere har oppdaget ulike iterasjoner av DISGOMOJI utstyrt med avanserte funksjoner, inkludert evnen til å etablere utholdenhet, forhindre samtidig utførelse av dupliserte DISGOMOJI-prosesser, dynamisk hente legitimasjon for Discord-servertilkobling ved kjøretid og tilsløre analyse ved å presentere villedende informasjons- og feilmeldinger.
I tillegg har trusselaktøren UTA0137 blitt observert ved å utnytte legitime og åpen kildekode-verktøy som Nmap, Chisel og Ligolo for nettverksskanning og tunnelformål. En nylig kampanje utnyttet DirtyPipe-sårbarheten (CVE-2022-0847) for å få rettighetseskalering på Linux-verter. En annen taktikk etter utnyttelse innebærer å bruke Zenity-verktøyet til å vise en falsk dialogboks som utgir seg for å være en Firefox-oppdatering, med sikte på å lure brukere til å avsløre passordene deres.
