DISGOMOJI Zlonamerna programska oprema
Kibernetska vohunska kampanja, ki je leta 2024 ciljala na indijske vladne subjekte, je bila pripisana domnevnemu akterju grožnje s sedežem v Pakistanu. Varnostni strokovnjaki spremljajo to kampanjo, identificirano kot UTA0137, ki uporablja edinstveno zlonamerno programsko opremo z imenom DISGOMOJI. Ta zlonamerna programska oprema, napisana v Golangu, cilja posebej na sisteme Linux.
Kazalo
DISGOMOJI izkorišča platformo Legitimate Discord
DISGOMOJI je prilagojena ponovitev javnega projekta Discord-C2, ki uporablja storitev sporočanja Discord za operacije ukazovanja in nadzora (C2), z integriranimi emojiji za komunikacijo.
Zanimivo je, da je DISGOMOJI enako celovito orodje za vohunjenje, ki so ga predhodno identificirali raziskovalci kibernetske varnosti med analizo infrastrukture v zvezi z napadom, pripisanim igralcu Transparent Tribe, hekerski skupini, povezani s Pakistanom.
Zlonamerna programska oprema DISGOMOJI se nadzoruje prek emojijev Discord
Napad se začne z e-poštnimi sporočili z lažnim predstavljanjem, ki vsebujejo dvojiško datoteko Golang ELF, zaprto v arhivu ZIP. Po izvedbi binarna datoteka pridobi neškodljiv dokument za vabo, medtem ko diskretno prenaša koristni tovor DISGOMOJI z oddaljenega strežnika.
DISGOMOJI, prilagojena različica Discord-C2, je zasnovana za zbiranje podatkov o gostitelju in izvajanje ukazov s strežnika Discord, ki ga nadzira napadalec. Smeje se edinstveni metodi pošiljanja in tolmačenja ukazov prek različnih emojijev:
✅ - Označuje dokončanje ukaza
💀 - Prekine postopek zlonamerne programske opreme na napravi žrtve
🏃♂️ - Izvede ukaz na napravi žrtve
📸 - naredi posnetek zaslona žrtve
👇 - Prenese datoteko iz naprave žrtve na kanal
☝️ - Prenese datoteko v napravo žrtve
👈 - Naloži datoteko iz žrtvine naprave za prenos[.]sh
👉 - Prenese datoteko, ki gostuje na oshi[.]at, v napravo žrtve
🦊 - Zbere profile Mozilla Firefox v napravi žrtve v arhiv ZIP
🕐 - Obvesti napadalca, da je ukaz v obdelavi
🔥 - Išče in ekstrahira datoteke s posebnimi končnicami: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS in ZIP
Zlonamerna programska oprema vzpostavi ločen kanal na strežniku Discord za vsako žrtev, kar napadalcu omogoča interakcijo z vsako žrtvijo posebej prek teh kanalov.
Različne različice opreme DISGOMOJI kažejo razlike v zmogljivostih
Raziskovalci so odkrili različne iteracije DISGOMOJI, opremljene z naprednimi funkcijami, vključno z zmožnostjo vzpostavitve vztrajnosti, preprečitve hkratnega izvajanja podvojenih procesov DISGOMOJI, dinamičnega pridobivanja poverilnic za povezavo s strežnikom Discord med izvajanjem in zameglitve analize s predstavitvijo zavajajočih informacij in sporočil o napakah.
Poleg tega so opazili, da akter grožnje UTA0137 uporablja legitimna in odprtokodna orodja, kot so Nmap, Chisel in Ligolo, za namene skeniranja omrežja in tuneliranja. Nedavna kampanja je izkoristila ranljivost DirtyPipe (CVE-2022-0847) za pridobitev stopnjevanja privilegijev na gostiteljih Linuxa. Druga taktika po izkoriščanju vključuje uporabo pripomočka Zenity za prikaz goljufivega pogovornega okna, ki se predstavlja kot posodobitev Firefoxa, s ciljem zavesti uporabnike, da razkrijejo svoja gesla.
