DISGOMOJI Skadlig programvara
En cyberspionagekampanj riktad mot indiska regeringsenheter 2024 har tillskrivits en misstänkt hotaktör baserad i Pakistan. Säkerhetsexperter övervakar denna kampanj, identifierad som UTA0137, som använder en unik skadlig programvara som heter DISGOMOJI. Denna skadliga programvara, skriven i Golang, riktar sig specifikt mot Linux-system.
Innehållsförteckning
DISGOMOJI utnyttjar den legitima Discord-plattformen
DISGOMOJI är en skräddarsydd iteration av det offentliga Discord-C2-projektet, som använder Discord-meddelandetjänsten för Command-and-Control (C2)-operationer, med emojis integrerade för kommunikation.
Intressant nog är DISGOMOJI det identiska omfattande spionageverktyget som tidigare identifierats av cybersäkerhetsforskare under en infrastrukturanalys relaterad till en attack som tillskrivs Transparent Tribe-aktören, en hackargrupp kopplad till Pakistan.
DISGOMOJI Malware kontrolleras via Discord Emojis
Attacken börjar med spjutfiske-e-postmeddelanden som innehåller en Golang ELF-binär innesluten i ett ZIP-arkiv. Vid exekvering hämtar binären ett ofarligt lockbetedokument medan den diskret laddar ner DISGOMOJI-nyttolasten från en fjärrserver.
DISGOMOJI, en anpassad version av Discord-C2, är konstruerad för att samla in värddata och utföra kommandon från en Discord-server som kontrolleras av angriparen. Det skrattar en unik metod för att skicka och tolka kommandon genom olika emojis:
✅ - Indikerar slutförande av ett kommando
💀 - Avbryter skadlig programvara på offrets enhet
🏃♂️ - Utför ett kommando på offrets enhet
📸 - Tar en skärmdump av offrets skärm
👇 - Laddar upp en fil från offrets enhet till kanalen
☝️ - Laddar ner en fil till offrets enhet
👈 - Laddar upp en fil från offrets enhet för att överföra[.]sh
👉 - Laddar ned en fil som finns på oshi[.]at till offrets enhet
Detta samlar Mozilla Firefox-profiler på offrets enhet till ett ZIP-arkiv
🕐 - Informerar angriparen om att kommandot bearbetas
🔥 - Söker efter och exfiltrerar filer med specifika tillägg: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS och ZIP
Skadlig programvara etablerar en separat kanal på Discord-servern för varje offer, vilket gör att angriparen kan interagera med varje offer individuellt via dessa kanaler.
Olika versioner av DISGOMOJI-utrustade visar variationer i kapacitet
Forskare har upptäckt olika iterationer av DISGOMOJI utrustad med avancerade funktioner, inklusive förmågan att etablera persistens, förhindra samtidig exekvering av dubbla DISGOMOJI-processer, dynamiskt hämta referenser för Discord-serveranslutning vid körning och fördunkla analys genom att presentera vilseledande informations- och felmeddelanden.
Dessutom har hotaktören UTA0137 observerats utnyttja legitima och öppen källkodsverktyg som Nmap, Chisel och Ligolo för nätverksskanning och tunnlingsändamål. En nyligen genomförd kampanj utnyttjade DirtyPipe-sårbarheten (CVE-2022-0847) för att få privilegieskalering på Linux-värdar. En annan taktik efter exploatering innebär att använda Zenity-verktyget för att visa en bedräglig dialogruta som poserar som en Firefox-uppdatering, som syftar till att lura användare att avslöja sina lösenord.
