Malware DISGOMOJI
Një fushatë kibernetike spiunazhi që synon entitetet qeveritare indiane në vitin 2024 i është atribuar një aktori të dyshuar kërcënimi me bazë në Pakistan. Ekspertët e sigurisë po monitorojnë këtë fushatë, të identifikuar si UTA0137, e cila përdor një malware unik të quajtur DISGOMOJI. Ky malware, i shkruar në Golang, synon në mënyrë specifike sistemet Linux.
Tabela e Përmbajtjes
DISGOMOJI shfrytëzon platformën legjitime të mosmarrëveshjeve
DISGOMOJI është një përsëritje e personalizuar e projektit publik Discord-C2, duke përdorur shërbimin e mesazheve Discord për operacionet Command-and-Control (C2), me emoji të integruara për komunikim.
Është interesante se DISGOMOJI është mjeti identik gjithëpërfshirës i spiunazhit i identifikuar më parë nga studiuesit e sigurisë kibernetike gjatë një analize të infrastrukturës në lidhje me një sulm që i atribuohet aktorit të fisit Transparent, një grup hakerash i lidhur me Pakistanin.
Malware DISGOMOJI kontrollohet nëpërmjet Discord Emojis
Sulmi fillon me emailet e phishing me shtizë që përmbajnë një binar Golang ELF të mbyllur brenda një arkivi ZIP. Pas ekzekutimit, binar merr një dokument mashtrimi të padëmshëm ndërsa shkarkon në mënyrë diskrete ngarkesën e pagesës DISGOMOJI nga një server në distancë.
DISGOMOJI, një version i personalizuar i Discord-C2, është krijuar për të mbledhur të dhëna të hostit dhe për të ekzekutuar komanda nga një server Discord i kontrolluar nga sulmuesi. Ajo qesh një metodë unike e dërgimit dhe interpretimit të komandave përmes emojis të ndryshëm:
✅ - Tregon përfundimin e një komande
💀 - Përfundon procesin e malware në pajisjen e viktimës
🏃♂️ - Ekzekuton një komandë në pajisjen e viktimës
📸 - Merr një pamje të ekranit të viktimës
👇 - Ngarkon një skedar nga pajisja e viktimës në kanal
☝️ - Shkarkon një skedar në pajisjen e viktimës
👈 - Ngarkon një skedar nga pajisja e viktimës për ta transferuar[.]sh
👉 - Shkarkon një skedar të vendosur në oshi[.]at në pajisjen e viktimës
🦊 - Mblidh profilet e Mozilla Firefox në pajisjen e viktimës në një arkiv ZIP
🕐 - Informon sulmuesin se komanda është duke u përpunuar
🔥 - Kërkon dhe nxjerr skedarë me shtesa specifike: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS dhe ZIP
Malware krijon një kanal të veçantë në serverin Discord për secilën viktimë, duke i lejuar sulmuesit të ndërveprojnë me secilën viktimë individualisht përmes këtyre kanaleve.
Versione të ndryshme të DISGOMOJI Equipped tregojnë variacione në aftësi
Studiuesit kanë zbuluar përsëritje të ndryshme të DISGOMOJI të pajisur me veçori të avancuara, duke përfshirë aftësinë për të vendosur qëndrueshmëri, për të parandaluar ekzekutimin e njëkohshëm të proceseve të kopjuara DISGOMOJI, për të marrë në mënyrë dinamike kredencialet për lidhjen e serverit Discord në kohën e ekzekutimit dhe për të errësuar analizën duke paraqitur mesazhe informative dhe gabimi mashtruese.
Përveç kësaj, aktori i kërcënimit UTA0137 është vërejtur duke shfrytëzuar mjete legjitime dhe me burim të hapur si Nmap, Chisel dhe Ligolo për qëllime të skanimit të rrjetit dhe tuneleve. Një fushatë e fundit shfrytëzoi cenueshmërinë DirtyPipe (CVE-2022-0847) për të fituar përshkallëzim privilegji në hostet Linux. Një tjetër taktikë e pas-shfrytëzimit përfshin përdorimin e programit Zenity për të shfaqur një kuti dialogu mashtruese që paraqitet si një përditësim i Firefox-it, duke synuar të mashtrojë përdoruesit për të zbuluar fjalëkalimet e tyre.
