ДИСГОМОЈИ Малваре
Кампања сајбер шпијунаже усмерена на индијске владине ентитете 2024. приписана је осумњиченом претњи са седиштем у Пакистану. Стручњаци за безбедност надгледају ову кампању, идентификовану као УТА0137, која користи јединствени малвер под називом ДИСГОМОЈИ. Овај малвер, написан на Голангу, циља на Линук системе.
Преглед садржаја
ДИСГОМОЈИ искориштава Легитимни Дисцорд платформу
ДИСГОМОЈИ је прилагођена итерација јавног Дисцорд-Ц2 пројекта, који користи Дисцорд сервис за размену порука за операције командовања и контроле (Ц2), са интегрисаним емоџијима за комуникацију.
Занимљиво је да је ДИСГОМОЈИ идентичан свеобухватни алат за шпијунажу који су претходно идентификовали истраживачи сајбер безбедности током анализе инфраструктуре у вези са нападом који се приписује актеру Транспарент Трибе, хакерској групи повезаној са Пакистаном.
Злонамерни софтвер ДИСГОМОЈИ се контролише преко Дисцорд емоџија
Напад почиње са спеар-пхисхинг имејловима који садрже Голанг ЕЛФ бинарну датотеку затворену у ЗИП архиву. Након извршења, бинарни фајл преузима безопасни документ за мамце док дискретно преузима ДИСГОМОЈИ корисни терет са удаљеног сервера.
ДИСГОМОЈИ, прилагођена верзија Дисцорд-Ц2, је пројектована да прикупља податке о хосту и извршава команде са Дисцорд сервера који контролише нападач. Смеје се јединственом методом слања и тумачења команди кроз различите емоџије:
✅ - Означава завршетак команде
💀 - Прекида процес малвера на уређају жртве
🏃♂ - Извршава команду на уређају жртве
📸 - Прави снимак екрана жртве
👇 - Учитава датотеку са уређаја жртве на канал
☝ - преузима датотеку на уређај жртве
👈 – Отпрема датотеку са жртвиног уређаја за пренос[.]сх
👉 - Преузима фајл хостован на осхи[.]ат на уређај жртве
🦊 - Сакупља Мозилла Фирефок профиле на уређају жртве у ЗИП архиву
🕐 - Обавештава нападача да се команда обрађује
🔥 - Претражује и ексфилтрира датотеке са одређеним екстензијама: ЦСВ, ДОЦ, ИСО, ЈПГ, ОДП, ОДС, ОДТ, ПДФ, ППТ, РАР, СКЛ, ТАР, КСЛС и ЗИП
Малвер успоставља посебан канал на Дисцорд серверу за сваку жртву, омогућавајући нападачу да комуницира са сваком жртвом појединачно преко ових канала.
Различите верзије ДИСГОМОЈИ опремљених показују варијације у могућностима
Истраживачи су открили различите итерације ДИСГОМОЈИ-ја опремљене напредним функцијама, укључујући могућност успостављања постојаности, спречавања истовременог извршавања дупликата ДИСГОМОЈИ процеса, динамичког преузимања акредитива за везу са Дисцорд сервером током рада и замагљивања анализе представљањем обмањујућих информација и порука о грешци.
Поред тога, примећено је да актер претње УТА0137 користи легитимне алате отвореног кода као што су Нмап, Цхисел и Лиголо за потребе мрежног скенирања и тунелирања. Недавна кампања је искористила рањивост ДиртиПипе (ЦВЕ-2022-0847) да би добила ескалацију привилегија на Линук хостовима. Још једна тактика пост-експлоатације укључује коришћење услужног програма Зенити за приказ лажног дијалога који се представља као ажурирање за Фирефок, са циљем да обмане кориснике да открију своје лозинке.
