DISGOMOJI Вредоносное ПО
Кампанию кибершпионажа, направленную против правительственных учреждений Индии в 2024 году, приписывают предполагаемому злоумышленнику, базирующемуся в Пакистане. Эксперты по безопасности отслеживают эту кампанию, идентифицированную как UTA0137, в которой используется уникальное вредоносное ПО под названием DISGOMOJI. Это вредоносное ПО, написанное на Golang, нацелено конкретно на системы Linux.
Оглавление
DISGOMOJI использует законную платформу Discord
DISGOMOJI — это адаптированная версия общедоступного проекта Discord-C2, использующая службу обмена сообщениями Discord для операций управления и контроля (C2) со встроенными смайликами для общения.
Интересно, что DISGOMOJI — это тот же комплексный инструмент шпионажа, который ранее был выявлен исследователями кибербезопасности во время анализа инфраструктуры, связанного с атакой, приписываемой хакерской группе Transparent Tribe, связанной с Пакистаном.
Вредоносное ПО DISGOMOJI контролируется с помощью смайлов Discord
Атака начинается с фишинговых писем, содержащих двоичный файл Golang ELF, заключенный в ZIP-архив. При выполнении двоичный файл извлекает безобидный документ-ловушку, незаметно загружая полезную нагрузку DISGOMOJI с удаленного сервера.
DISGOMOJI, модифицированная версия Discord-C2, предназначена для сбора данных хоста и выполнения команд с сервера Discord, контролируемого злоумышленником. Он смеется над уникальным методом отправки и интерпретации команд с помощью различных смайлов:
✅ - Указывает на завершение команды
💀 — Завершает вредоносный процесс на устройстве жертвы.
🏃♂️ - Выполняет команду на устройстве жертвы.
📸 - Делает скриншот экрана жертвы.
👇 - Загружает файл с устройства жертвы на канал
☝️ - Загружает файл на устройство жертвы
👈 - Загружает файл с устройства жертвы для передачи[.]sh
👉 - Загружает файл, размещенный на oshi[.]at, на устройство жертвы.
🦊 - Собирает профили Mozilla Firefox на устройстве жертвы в ZIP-архив.
🕐 — Информирует злоумышленника о том, что команда обрабатывается.
🔥 - Ищет и удаляет файлы с определенными расширениями: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS и ZIP.
Вредоносная программа устанавливает отдельный канал на сервере Discord для каждой жертвы, позволяя злоумышленнику взаимодействовать с каждой жертвой индивидуально через эти каналы.
Различные версии DISGOMOJI демонстрируют различия в возможностях
Исследователи обнаружили различные версии DISGOMOJI, оснащенные расширенными функциями, включая способность обеспечивать постоянство, предотвращать одновременное выполнение дублирующих процессов DISGOMOJI, динамически получать учетные данные для подключения к серверу Discord во время выполнения и запутывать анализ, предоставляя вводящую в заблуждение информацию и сообщения об ошибках.
Кроме того, было замечено, что злоумышленник UTA0137 использует законные инструменты с открытым исходным кодом, такие как Nmap, Chisel и Ligolo, для сканирования сети и туннелирования. Недавняя кампания использовала уязвимость DirtyPipe (CVE-2022-0847) для повышения привилегий на хостах Linux. Другая тактика пост-эксплуатации предполагает использование утилиты Zenity для отображения мошеннического диалогового окна, выдающего себя за обновление Firefox, с целью обманом заставить пользователей раскрыть свои пароли.
