DISGOMOJI-malware
Een cyberspionagecampagne gericht op Indiase overheidsinstanties in 2024 wordt toegeschreven aan een vermoedelijke dreigingsactoren gevestigd in Pakistan. Beveiligingsexperts houden toezicht op deze campagne, geïdentificeerd als UTA0137, die gebruik maakt van een unieke malware genaamd DISGOMOJI. Deze malware, geschreven in Golang, richt zich specifiek op Linux-systemen.
Inhoudsopgave
DISGOMOJI exploiteert het legitieme onenigheidsplatform
DISGOMOJI is een aangepaste versie van het openbare Discord-C2-project, waarbij gebruik wordt gemaakt van de Discord-berichtenservice voor Command-and-Control (C2) -bewerkingen, met geïntegreerde emoji's voor communicatie.
Interessant genoeg is DISGOMOJI het identieke uitgebreide spionagehulpmiddel dat eerder door cyberbeveiligingsonderzoekers werd geïdentificeerd tijdens een infrastructuuranalyse met betrekking tot een aanval die werd toegeschreven aan de Transparent Tribe-acteur, een hackgroep die banden heeft met Pakistan.
De DISGOMOJI-malware wordt beheerd via Discord-emoji's
De aanval begint met spearphishing-e-mails die een binair Golang ELF-bestand bevatten, ingesloten in een ZIP-archief. Bij uitvoering haalt het binaire bestand een onschadelijk lokdocument op terwijl het discreet de DISGOMOJI-payload downloadt van een externe server.
DISGOMOJI, een aangepaste versie van Discord-C2, is ontworpen om hostgegevens te verzamelen en opdrachten uit te voeren vanaf een Discord-server die wordt beheerd door de aanvaller. Het lacht een unieke methode uit voor het verzenden en interpreteren van opdrachten via verschillende emoji's:
✅ - Geeft de voltooiing van een opdracht aan
💀 - Beëindigt het malwareproces op het apparaat van het slachtoffer
🏃♂️ - Voert een opdracht uit op het apparaat van het slachtoffer
📸 - Maakt een screenshot van het scherm van het slachtoffer
👇 - Uploadt een bestand van het apparaat van het slachtoffer naar het kanaal
☝️ - Downloadt een bestand naar het apparaat van het slachtoffer
👈 - Uploadt een bestand vanaf het apparaat van het slachtoffer om[.]sh over te dragen
👉 - Downloadt een bestand dat wordt gehost op oshi[.]at naar het apparaat van het slachtoffer
🦊 - Verzamelt Mozilla Firefox-profielen op het apparaat van het slachtoffer in een ZIP-archief
🕐 - Informeert de aanvaller dat de opdracht wordt verwerkt
🔥 - Zoekt en exfiltreert bestanden met specifieke extensies: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS en ZIP
De malware zet voor elk slachtoffer een apart kanaal op de Discord-server op, waardoor de aanvaller via deze kanalen met elk slachtoffer afzonderlijk kan communiceren.
Verschillende versies van DISGOMOJI uitgerust tonen variaties in mogelijkheden
Onderzoekers hebben verschillende iteraties van DISGOMOJI ontdekt die zijn uitgerust met geavanceerde functies, waaronder de mogelijkheid om persistentie tot stand te brengen, gelijktijdige uitvoering van dubbele DISGOMOJI-processen te voorkomen, dynamisch inloggegevens voor de Discord-serververbinding tijdens runtime op te halen en analyses te verdoezelen door misleidende informatie- en foutmeldingen te presenteren.
Bovendien is waargenomen dat de bedreigingsacteur UTA0137 legitieme en open-source tools zoals Nmap, Chisel en Ligolo gebruikt voor netwerkscans en tunnelingdoeleinden. Een recente campagne maakte misbruik van de DirtyPipe-kwetsbaarheid (CVE-2022-0847) om escalatie van bevoegdheden op Linux-hosts te verkrijgen. Een andere tactiek na de exploitatie is het gebruik van het Zenity-hulpprogramma om een frauduleus dialoogvenster weer te geven dat zich voordoet als een Firefox-update, met als doel gebruikers te misleiden om hun wachtwoorden bekend te maken.
