Złośliwe oprogramowanie DISGOMOJI
Kampanię cyberszpiegowską wymierzoną w indyjskie podmioty rządowe w 2024 r. przypisano podejrzanemu ugrupowaniu zagrażającemu z siedzibą w Pakistanie. Eksperci ds. bezpieczeństwa monitorują tę kampanię, zidentyfikowaną jako UTA0137, która wykorzystuje unikalne szkodliwe oprogramowanie o nazwie DISGOMOJI. Szkodnik ten, napisany w języku Golang, atakuje w szczególności systemy Linux.
Spis treści
DISGOMOJI wykorzystuje legalną platformę Discord
DISGOMOJI to dostosowana wersja publicznego projektu Discord-C2, wykorzystująca usługę przesyłania wiadomości Discord do operacji dowodzenia i kontroli (C2), ze zintegrowanymi emoji do komunikacji.
Co ciekawe, DISGOMOJI to identyczne wszechstronne narzędzie szpiegowskie, które zidentyfikowali wcześniej badacze cyberbezpieczeństwa podczas analizy infrastruktury związanej z atakiem przypisywanym aktorowi Transparent Tribe – grupie hakerskiej powiązanej z Pakistanem.
Złośliwe oprogramowanie DISGOMOJI jest kontrolowane za pomocą emotikonów Discord
Atak rozpoczyna się od wiadomości e-mail typu spear-phishing zawierających plik binarny Golang ELF zamknięty w archiwum ZIP. Po wykonaniu plik binarny pobiera nieszkodliwy dokument-wabik, jednocześnie dyskretnie pobierając ładunek DISGOMOJI ze zdalnego serwera.
DISGOMOJI, dostosowana wersja Discord-C2, została zaprojektowana w celu gromadzenia danych hosta i wykonywania poleceń z serwera Discord kontrolowanego przez atakującego. Śmieje się z unikalnej metody wysyłania i interpretowania poleceń za pomocą różnych emoji:
✅ - Wskazuje wykonanie polecenia
💀 - Kończy proces złośliwego oprogramowania na urządzeniu ofiary
🏃♂️ - Wykonuje polecenie na urządzeniu ofiary
📸 - Wykonuje zrzut ekranu ekranu ofiary
👇 - Przesyła plik z urządzenia ofiary na kanał
☝️ - Pobiera plik na urządzenie ofiary
👈 - Przesyła plik z urządzenia ofiary w celu przesłania [.]sh
👉 - Pobiera plik umieszczony na oshi[.]at na urządzenie ofiary
🦊 - Gromadzi profile Mozilla Firefox na urządzeniu ofiary w archiwum ZIP
🕐 - Informuje atakującego, że polecenie jest przetwarzane
🔥 - Wyszukuje i eksfiltruje pliki z określonymi rozszerzeniami: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS i ZIP
Szkodnik tworzy dla każdej ofiary oddzielny kanał na serwerze Discord, umożliwiając atakującemu indywidualną interakcję z każdą ofiarą za pośrednictwem tych kanałów.
Różne wersje wyposażenia DISGOMOJI pokazują różnice w możliwościach
Badacze odkryli różne wersje DISGOMOJI wyposażone w zaawansowane funkcje, w tym możliwość ustalania trwałości, zapobiegania jednoczesnemu wykonywaniu zduplikowanych procesów DISGOMOJI, dynamicznego odzyskiwania danych uwierzytelniających do połączenia z serwerem Discord w czasie wykonywania oraz zaciemniania analiz poprzez prezentowanie mylących informacji i komunikatów o błędach.
Ponadto zaobserwowano, że ugrupowanie zagrażające UTA0137 wykorzystuje legalne narzędzia typu open source, takie jak Nmap, Chisel i Ligolo, do skanowania sieci i tunelowania. W niedawnej kampanii wykorzystano lukę DirtyPipe (CVE-2022-0847) w celu uzyskania eskalacji uprawnień na hostach z systemem Linux. Inna taktyka po wykorzystaniu oprogramowania polega na użyciu narzędzia Zenity do wyświetlenia fałszywego okna dialogowego udającego aktualizację Firefoksa i mającego na celu oszukanie użytkowników w celu ujawnienia ich haseł.
