ਡਿਸਗੋਮੋਜੀ ਮਾਲਵੇਅਰ

2024 ਵਿੱਚ ਭਾਰਤ ਸਰਕਾਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ ਪਾਕਿਸਤਾਨ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਸ਼ੱਕੀ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਸੁਰੱਖਿਆ ਮਾਹਰ ਇਸ ਮੁਹਿੰਮ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ, ਜਿਸ ਦੀ ਪਛਾਣ UTA0137 ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ DISGOMOJI ਨਾਮਕ ਇੱਕ ਵਿਲੱਖਣ ਮਾਲਵੇਅਰ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਗੋਲੰਗ ਵਿੱਚ ਲਿਖਿਆ ਇਹ ਮਾਲਵੇਅਰ ਖਾਸ ਤੌਰ 'ਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।

ਡਿਸਗੋਮੋਜੀ ਜਾਇਜ਼ ਡਿਸਕਾਰਡ ਪਲੇਟਫਾਰਮ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

DISGOMOJI ਸੰਚਾਰ ਲਈ ਏਕੀਕ੍ਰਿਤ ਇਮੋਜੀ ਦੇ ਨਾਲ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਡਿਸਕਾਰਡ ਮੈਸੇਜਿੰਗ ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਜਨਤਕ ਡਿਸਕੋਰਡ-ਸੀ2 ਪ੍ਰੋਜੈਕਟ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਦੁਹਰਾਓ ਹੈ।

ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, DISGOMOJI ਇੱਕ ਸਮਾਨ ਵਿਆਪਕ ਜਾਸੂਸੀ ਟੂਲ ਹੈ ਜੋ ਪਹਿਲਾਂ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਾਕਿਸਤਾਨ ਨਾਲ ਜੁੜੇ ਇੱਕ ਹੈਕਿੰਗ ਸਮੂਹ, ਪਾਰਦਰਸ਼ੀ ਕਬੀਲੇ ਦੇ ਅਭਿਨੇਤਾ, ਦੇ ਹਮਲੇ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੌਰਾਨ ਪਛਾਣਿਆ ਗਿਆ ਸੀ।

DISGOMOJI ਮਾਲਵੇਅਰ ਨੂੰ ਡਿਸਕਾਰਡ ਇਮੋਜੀ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ

ਹਮਲਾ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ ਬੰਦ ਗੋਲੰਗ ELF ਬਾਈਨਰੀ ਵਾਲੀਆਂ ਬਰਛੀਆਂ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, ਬਾਈਨਰੀ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ DISGOMOJI ਪੇਲੋਡ ਨੂੰ ਸਮਝਦਾਰੀ ਨਾਲ ਡਾਉਨਲੋਡ ਕਰਦੇ ਹੋਏ ਨੁਕਸਾਨ ਰਹਿਤ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਲਿਆਉਂਦੀ ਹੈ।

DISGOMOJI, Discord-C2 ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ, ਹੋਸਟ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਡਿਸਕੋਰਡ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਵੱਖ-ਵੱਖ ਇਮੋਜੀਆਂ ਦੁਆਰਾ ਕਮਾਂਡਾਂ ਨੂੰ ਭੇਜਣ ਅਤੇ ਵਿਆਖਿਆ ਕਰਨ ਦਾ ਇੱਕ ਵਿਲੱਖਣ ਤਰੀਕਾ ਹੱਸਦਾ ਹੈ:

✅ - ਇੱਕ ਕਮਾਂਡ ਦੇ ਪੂਰਾ ਹੋਣ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ

💀 - ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ 'ਤੇ ਮਾਲਵੇਅਰ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ

🏃‍♂️ - ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ 'ਤੇ ਕਮਾਂਡ ਚਲਾਉਂਦੀ ਹੈ

📸 - ਪੀੜਤ ਦੀ ਸਕ੍ਰੀਨ ਦਾ ਸਕ੍ਰੀਨਸ਼ੌਟ ਲੈਂਦਾ ਹੈ

👇 - ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ ਤੋਂ ਇੱਕ ਫਾਈਲ ਨੂੰ ਚੈਨਲ 'ਤੇ ਅੱਪਲੋਡ ਕਰਦਾ ਹੈ

☝️ - ਪੀੜਤ ਦੇ ਡੀਵਾਈਸ 'ਤੇ ਫ਼ਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ

👈 - ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਪੀੜਤ ਦੇ ਡੀਵਾਈਸ ਤੋਂ ਇੱਕ ਫ਼ਾਈਲ ਅੱਪਲੋਡ ਕਰਦਾ ਹੈ[.]sh

👉 - oshi[.]'ਤੇ ਹੋਸਟ ਕੀਤੀ ਫਾਈਲ ਨੂੰ ਪੀੜਤ ਦੇ ਡਿਵਾਈਸ 'ਤੇ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ

🦊 - ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ 'ਤੇ ਮੋਜ਼ੀਲਾ ਫਾਇਰਫਾਕਸ ਪ੍ਰੋਫਾਈਲਾਂ ਨੂੰ ਜ਼ਿਪ ਆਰਕਾਈਵ ਵਿੱਚ ਇਕੱਠਾ ਕਰਦਾ ਹੈ

🕐 - ਹਮਲਾਵਰ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਕਮਾਂਡ 'ਤੇ ਕਾਰਵਾਈ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

🔥 - ਖਾਸ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੇ ਨਾਲ ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਅਤੇ ਬਾਹਰ ਕੱਢਦਾ ਹੈ: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ਅਤੇ ZIP

ਮਾਲਵੇਅਰ ਹਰੇਕ ਪੀੜਤ ਲਈ ਡਿਸਕਾਰਡ ਸਰਵਰ 'ਤੇ ਇੱਕ ਵੱਖਰਾ ਚੈਨਲ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਨੂੰ ਇਹਨਾਂ ਚੈਨਲਾਂ ਰਾਹੀਂ ਹਰੇਕ ਪੀੜਤ ਨਾਲ ਵਿਅਕਤੀਗਤ ਤੌਰ 'ਤੇ ਗੱਲਬਾਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।

DISGOMOJI ਦੇ ਵੱਖ-ਵੱਖ ਸੰਸਕਰਣ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਭਿੰਨਤਾਵਾਂ ਦਿਖਾਉਂਦੇ ਹਨ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਅਡਵਾਂਸਡ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਲੈਸ DISGOMOJI ਦੇ ਵੱਖ-ਵੱਖ ਦੁਹਰਾਓ ਖੋਜੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ, ਡੁਪਲੀਕੇਟ DISGOMOJI ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੇ ਨਾਲ ਚੱਲਣ ਨੂੰ ਰੋਕਣਾ, ਰਨਟਾਈਮ 'ਤੇ ਡਿਸਕੋਰਡ ਸਰਵਰ ਕਨੈਕਸ਼ਨ ਲਈ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਗੁੰਮਰਾਹਕੁੰਨ ਸੁਨੇਹੇ ਅਤੇ ਗਲਤੀ ਭਰੀ ਜਾਣਕਾਰੀ ਪੇਸ਼ ਕਰਕੇ ਅਸਪਸ਼ਟ ਵਿਸ਼ਲੇਸ਼ਣ ਸ਼ਾਮਲ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਧਮਕੀ ਅਭਿਨੇਤਾ UTA0137 ਨੂੰ ਨੈੱਟਵਰਕ ਸਕੈਨਿੰਗ ਅਤੇ ਟਨਲਿੰਗ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ Nmap, Chisel ਅਤੇ Ligolo ਵਰਗੇ ਜਾਇਜ਼ ਅਤੇ ਓਪਨ-ਸਰੋਤ ਸਾਧਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇੱਕ ਤਾਜ਼ਾ ਮੁਹਿੰਮ ਨੇ ਲੀਨਕਸ ਹੋਸਟਾਂ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਲਈ ਡਰਟੀਪਾਈਪ ਕਮਜ਼ੋਰੀ (CVE-2022-0847) ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ। ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀ ਇੱਕ ਹੋਰ ਰਣਨੀਤੀ ਵਿੱਚ ਇੱਕ ਫਰਜ਼ੀ ਡਾਇਲਾਗ ਬਾਕਸ ਨੂੰ ਫਾਇਰਫਾਕਸ ਅੱਪਡੇਟ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ Zenity ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਪਾਸਵਰਡ ਪ੍ਰਗਟ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣਾ ਹੈ।