DISGOMOJI Malware
O campanie de spionaj cibernetic care vizează entitățile guvernamentale indiene în 2024 a fost atribuită unui presupus actor de amenințare cu sediul în Pakistan. Experții în securitate monitorizează această campanie, identificată ca UTA0137, care folosește un malware unic numit DISGOMOJI. Acest malware, scris în Golang, vizează în mod specific sistemele Linux.
Cuprins
DISGOMOJI exploatează platforma Legitimate Discord
DISGOMOJI este o iterație personalizată a proiectului public Discord-C2, care utilizează serviciul de mesagerie Discord pentru operațiuni Command-and-Control (C2), cu emoji-uri integrate pentru comunicare.
Interesant, DISGOMOJI este instrumentul de spionaj complet identic identificat anterior de cercetătorii în securitate cibernetică în timpul unei analize a infrastructurii legate de un atac atribuit actorului Transparent Tribe, un grup de hacking legat de Pakistan.
Programul malware DISGOMOJI este controlat prin Emojis Discord
Atacul începe cu e-mailuri de tip spear-phishing care conțin un cod binar Golang ELF inclus într-o arhivă ZIP. La execuție, binarul preia un document momeală inofensiv în timp ce descarcă discret încărcătura utilă DISGOMOJI de pe un server la distanță.
DISGOMOJI, o versiune personalizată a Discord-C2, este concepută pentru a colecta date despre gazdă și pentru a executa comenzi de pe un server Discord controlat de atacator. Râde o metodă unică de trimitere și interpretare a comenzilor prin diferite emoji-uri:
✅ - Indică finalizarea unei comenzi
💀 - Termină procesul de malware pe dispozitivul victimei
🏃♂️ - Execută o comandă pe dispozitivul victimei
📸 - Face o captură de ecran a ecranului victimei
👇 - Încarcă un fișier de pe dispozitivul victimei pe canal
☝️ - Descarcă un fișier pe dispozitivul victimei
👈 - Încarcă un fișier de pe dispozitivul victimei pentru a-l transfera[.]sh
👉 - Descarcă un fișier găzduit pe oshi[.]at pe dispozitivul victimei
🦊 - Adună profilurile Mozilla Firefox de pe dispozitivul victimei într-o arhivă ZIP
🕐 - informează atacatorul că comanda este în curs de procesare
🔥 - Caută și exfiltrează fișiere cu extensii specifice: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS și ZIP
Malware-ul stabilește un canal separat pe serverul Discord pentru fiecare victimă, permițând atacatorului să interacționeze cu fiecare victimă în mod individual prin aceste canale.
Diferite versiuni ale echipate DISGOMOJI arată variații în capacități
Cercetătorii au descoperit diverse iterații ale DISGOMOJI echipate cu caracteristici avansate, inclusiv capacitatea de a stabili persistența, de a preveni execuția simultană a proceselor DISGOMOJI duplicate, de a prelua în mod dinamic acreditările pentru conexiunea la serverul Discord în timpul execuției și de a ofusca analiza prin prezentarea de mesaje informaționale și de eroare înșelătoare.
În plus, actorul amenințării UTA0137 a fost observat utilizând instrumente legitime și open-source, cum ar fi Nmap, Chisel și Ligolo, în scopuri de scanare și tunelare a rețelei. O campanie recentă a exploatat vulnerabilitatea DirtyPipe (CVE-2022-0847) pentru a obține o escaladare a privilegiilor pe gazdele Linux. O altă tactică post-exploatare implică folosirea utilitarului Zenity pentru a afișa o casetă de dialog frauduloasă care prezintă drept o actualizare pentru Firefox, cu scopul de a înșela utilizatorii să-și dezvăluie parolele.
