DISGOMOJI मालवेयर

2024 मा भारतीय सरकारी निकायहरूलाई लक्षित गर्ने साइबर जासूसी अभियान पाकिस्तानमा रहेको एक संदिग्ध खतरा अभिनेतालाई जिम्मेवार ठहराइएको छ। सुरक्षा विशेषज्ञहरूले UTA0137 को रूपमा पहिचान गरिएको यो अभियानलाई निगरानी गरिरहेका छन्, जसले DISGOMOJI नामक एक अद्वितीय मालवेयर प्रयोग गर्दछ। Golang मा लेखिएको यो मालवेयरले लिनक्स प्रणालीहरूलाई विशेष रूपमा लक्षित गर्दछ।

DISGOMOJI वैध विवाद प्लेटफर्मको शोषण गर्दछ

DISGOMOJI सार्वजनिक Discord-C2 परियोजनाको अनुकूलित पुनरावृत्ति हो, Command-and-Control (C2) सञ्चालनका लागि Discord सन्देश सेवा प्रयोग गर्दै, संचारका लागि एकीकृत इमोजीहरू सहित।

चाखलाग्दो कुरा के छ भने, DISGOMOJI एक समान व्यापक जासुसी उपकरण हो जुन पहिले साइबर सुरक्षा अनुसन्धानकर्ताहरूले पारदर्शी जनजाति अभिनेता, पाकिस्तानसँग जोडिएको ह्याकिङ समूहलाई श्रेय दिइएको आक्रमणसँग सम्बन्धित पूर्वाधार विश्लेषणको क्रममा पहिचान गरेका थिए।

DISGOMOJI मालवेयरलाई Discord Emojis मार्फत नियन्त्रण गरिन्छ

आक्रमण जिप अभिलेख भित्र गोलांग ELF बाइनरी समावेश भएको भाला-फिसिङ इमेलहरूबाट सुरु हुन्छ। निष्पादन पछि, बाइनरीले एक हानिरहित डिकोय कागजात ल्याउँछ जबकि सावधानीपूर्वक टाढाको सर्भरबाट DISGOMOJI पेलोड डाउनलोड गर्दछ।

DISGOMOJI, Discord-C2 को अनुकूलित संस्करण, होस्ट डेटा जम्मा गर्न र आक्रमणकर्ता द्वारा नियन्त्रित Discord सर्भरबाट आदेशहरू कार्यान्वयन गर्न इन्जिनियर गरिएको छ। यसले विभिन्न इमोजीहरू मार्फत आदेशहरू पठाउने र व्याख्या गर्ने अनौंठो विधिलाई हँसाउँछ:

✅ - आदेशको पूरा भएको संकेत गर्दछ

💀 - पीडितको उपकरणमा मालवेयर प्रक्रिया समाप्त गर्दछ

🏃‍♂️ - पीडितको यन्त्रमा आदेश कार्यान्वयन गर्दछ

📸 - पीडितको स्क्रिनको स्क्रिनसट लिन्छ

👇 - पीडितको यन्त्रबाट च्यानलमा फाइल अपलोड गर्दछ

☝️ - पीडितको यन्त्रमा फाइल डाउनलोड गर्छ

👈 - स्थानान्तरण गर्न पीडितको यन्त्रबाट फाइल अपलोड गर्दछ[.]sh

👉 - पीडितको यन्त्रमा oshi[.] मा होस्ट गरिएको फाइल डाउनलोड गर्दछ

🦊 - पीडितको यन्त्रमा मोजिला फायरफक्स प्रोफाइलहरू जिप अभिलेखमा जम्मा गर्दछ

🕐 - आदेश प्रशोधन भइरहेको छ भनेर आक्रमणकारीलाई सूचित गर्दछ

🔥 - विशेष विस्तारहरूका साथ फाइलहरू खोज्छ र बाहिर निकाल्छ: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, र ZIP

मालवेयरले प्रत्येक पीडितको लागि Discord सर्भरमा छुट्टै च्यानल स्थापना गर्दछ, जसले आक्रमणकारीलाई यी च्यानलहरू मार्फत प्रत्येक पीडितसँग व्यक्तिगत रूपमा अन्तरक्रिया गर्न अनुमति दिन्छ।

DISGOMOJI का विभिन्न संस्करणहरू क्षमताहरूमा भिन्नताहरू देखाउनुहोस्

अनुसन्धानकर्ताहरूले DISGOMOJI को विभिन्न पुनरावृत्तिहरू पत्ता लगाएका छन्, जसमा दृढता स्थापना गर्ने क्षमता, डुप्लिकेट DISGOMOJI प्रक्रियाहरूको एकै साथ कार्यान्वयनलाई रोक्ने, रनटाइममा Discord सर्भर जडानको लागि गतिशील रूपमा प्रमाणहरू पुनःप्राप्त गर्ने र भ्रामक सन्देश र त्रुटिपूर्ण सन्देशहरू प्रस्तुत गरेर अस्पष्ट विश्लेषण गर्ने क्षमता समावेश छ।

थप रूपमा, खतरा अभिनेता UTA0137 लाई नेटवर्क स्क्यानिङ र टनेलिङ उद्देश्यका लागि Nmap, Chisel , र Ligolo जस्ता वैध र खुला स्रोत उपकरणहरू प्रयोग गर्ने अवलोकन गरिएको छ। भर्खरैको अभियानले लिनक्स होस्टहरूमा विशेषाधिकार वृद्धि प्राप्त गर्न डर्टीपाइप भेद्यता (CVE-2022-0847) को शोषण गर्‍यो। अर्को रणनीति पोस्ट-शोषणमा प्रयोगकर्ताहरूलाई तिनीहरूको पासवर्डहरू प्रकट गर्न धोका दिने उद्देश्यले फायरफक्स अपडेटको रूपमा जालसाजी संवाद बक्स प्रदर्शन गर्न Zenity उपयोगिता प्रयोग गर्नु समावेश छ।