DISGOMOJI malvér
Kyberšpionážna kampaň zameraná na indické vládne subjekty v roku 2024 bola pripísaná podozrivému aktérovi hrozby so sídlom v Pakistane. Bezpečnostní experti monitorujú túto kampaň označenú ako UTA0137, ktorá využíva jedinečný malvér s názvom DISGOMOJI. Tento malvér napísaný v Golangu sa zameriava konkrétne na systémy Linux.
Obsah
DISGOMOJI využíva legitímnu platformu nezhôd
DISGOMOJI je prispôsobená iterácia verejného projektu Discord-C2, ktorý využíva službu zasielania správ Discord na operácie Command-and-Control (C2) s integrovanými emotikonmi na komunikáciu.
Zaujímavé je, že DISGOMOJI je identický komplexný špionážny nástroj, ktorý predtým identifikovali výskumníci v oblasti kybernetickej bezpečnosti počas analýzy infraštruktúry súvisiacej s útokom pripisovaným aktérovi Transparent Tribe, hackerskej skupine spojenej s Pakistanom.
Malvér DISGOMOJI sa ovláda prostredníctvom Discord Emojis
Útok začína spear-phishingovými e-mailami obsahujúcimi binárny súbor Golang ELF uzavretý v archíve ZIP. Po spustení binárny súbor načíta neškodný návnadový dokument a zároveň diskrétne stiahne užitočné zaťaženie DISGOMOJI zo vzdialeného servera.
DISGOMOJI, prispôsobená verzia Discord-C2, je navrhnutá tak, aby zhromažďovala hostiteľské dáta a vykonávala príkazy zo servera Discord kontrolovaného útočníkom. Smeje sa jedinečnej metóde odosielania a interpretácie príkazov prostredníctvom rôznych emotikonov:
✅ - Označuje dokončenie príkazu
💀 - Ukončí proces malvéru na zariadení obete
🏃♂️ - Vykoná príkaz na zariadení obete
📸 - Vytvorí snímku obrazovky obete
👇 - Nahrá súbor zo zariadenia obete do kanála
☝️ - Stiahne súbor do zariadenia obete
👈 - Nahrá súbor zo zariadenia obete na prenos[.]sh
👉 - Stiahne súbor hostený na oshi[.]at do zariadenia obete
🦊 - Zhromažďuje profily Mozilla Firefox na zariadení obete do archívu ZIP
🕐 - Informuje útočníka, že príkaz sa spracováva
🔥 - Vyhľadáva a exfiltruje súbory so špecifickými príponami: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS a ZIP
Malvér vytvorí samostatný kanál na serveri Discord pre každú obeť, čo umožňuje útočníkovi interagovať s každou obeťou jednotlivo prostredníctvom týchto kanálov.
Rôzne verzie vybavenia DISGOMOJI ukazujú variácie v schopnostiach
Výskumníci objavili rôzne iterácie DISGOMOJI vybavené pokročilými funkciami, vrátane schopnosti vytvoriť stálosť, zabrániť simultánnemu vykonávaniu duplicitných procesov DISGOMOJI, dynamicky získavať poverenia pre pripojenie k serveru Discord za behu a zahmlievať analýzu prezentovaním zavádzajúcich informačných a chybových správ.
Okrem toho bol pozorovaný aktér hrozby UTA0137, ktorý využíva legitímne a open-source nástroje, ako sú Nmap, Chisel a Ligolo na účely sieťového skenovania a tunelovania. Nedávna kampaň využila zraniteľnosť DirtyPipe (CVE-2022-0847) na získanie eskalácie privilégií na hostiteľoch Linuxu. Ďalšou taktikou po zneužití je použitie pomôcky Zenity na zobrazenie podvodného dialógového okna, ktoré sa tvári ako aktualizácia Firefoxu s cieľom oklamať používateľov, aby prezradili svoje heslá.
