டிஸ்கோமோஜி மால்வேர்
2024 ஆம் ஆண்டில் இந்திய அரசாங்க நிறுவனங்களை குறிவைத்து சைபர் உளவு பிரச்சாரம் பாகிஸ்தானை தளமாகக் கொண்ட சந்தேகத்திற்குரிய அச்சுறுத்தல் நடிகருக்குக் காரணம் என்று கூறப்படுகிறது. DISGOMOJI என்ற தனித்துவமான தீம்பொருளைப் பயன்படுத்தும் UTA0137 என அடையாளம் காணப்பட்ட இந்தப் பிரச்சாரத்தை பாதுகாப்பு நிபுணர்கள் கண்காணித்து வருகின்றனர். கோலாங்கில் எழுதப்பட்ட இந்த மால்வேர், குறிப்பாக லினக்ஸ் அமைப்புகளை குறிவைக்கிறது.
பொருளடக்கம்
DISGOMOJI முறையான டிஸ்கார்ட் பிளாட்ஃபார்மைப் பயன்படுத்துகிறது
டிஸ்கோமோஜி என்பது பொது டிஸ்கார்ட்-சி2 திட்டத்தின் தனிப்பயனாக்கப்பட்ட மறு செய்கை ஆகும், இது டிஸ்கார்ட் செய்தியிடல் சேவையை கமாண்ட்-அண்ட்-கண்ட்ரோல் (சி2) செயல்பாடுகளுக்குப் பயன்படுத்துகிறது, தகவல்தொடர்புக்காக ஒருங்கிணைக்கப்பட்ட ஈமோஜிகள்.
சுவாரஸ்யமாக, DISGOMOJI என்பது பாகிஸ்தானுடன் தொடர்புடைய ஹேக்கிங் குழுவான டிரான்ஸ்பரன்ட் ட்ரைப் நடிகரின் தாக்குதலுடன் தொடர்புடைய உள்கட்டமைப்பு பகுப்பாய்வின் போது சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களால் முன்னர் அடையாளம் காணப்பட்ட ஒரே மாதிரியான விரிவான உளவு கருவியாகும்.
டிஸ்கோமோஜி மால்வேர் டிஸ்கார்ட் எமோஜிகள் மூலம் கட்டுப்படுத்தப்படுகிறது
ஜிப் காப்பகத்திற்குள் இணைக்கப்பட்ட கோலாங் ELF பைனரியைக் கொண்ட ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களுடன் தாக்குதல் தொடங்குகிறது. செயல்படுத்தப்பட்டவுடன், தொலைநிலை சேவையகத்திலிருந்து DISGOMOJI பேலோடை விவேகத்துடன் பதிவிறக்கம் செய்யும் போது, பைனரி தீங்கற்ற டிகோய் ஆவணத்தைப் பெறுகிறது.
Discord-C2 இன் தனிப்பயனாக்கப்பட்ட பதிப்பான DISGOMOJI, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் டிஸ்கார்ட் சேவையகத்திலிருந்து ஹோஸ்ட் தரவைச் சேகரிக்கவும் கட்டளைகளை இயக்கவும் வடிவமைக்கப்பட்டுள்ளது. இது பல்வேறு ஈமோஜிகள் மூலம் கட்டளைகளை அனுப்புவதற்கும் விளக்குவதற்கும் ஒரு தனித்துவமான முறையை சிரிக்கிறது:
✅ - கட்டளையை முடித்ததைக் குறிக்கிறது
💀 - பாதிக்கப்பட்டவரின் சாதனத்தில் தீம்பொருள் செயல்முறையை நிறுத்துகிறது
🏃♂️ - பாதிக்கப்பட்டவரின் சாதனத்தில் கட்டளையை செயல்படுத்துகிறது
📸 - பாதிக்கப்பட்டவரின் திரையின் ஸ்கிரீன்ஷாட்டை எடுக்கிறது
👇 - பாதிக்கப்பட்டவரின் சாதனத்திலிருந்து ஒரு கோப்பை சேனலுக்கு பதிவேற்றுகிறது
☝️ - பாதிக்கப்பட்டவரின் சாதனத்தில் கோப்பைப் பதிவிறக்குகிறது
👈 - பாதிக்கப்பட்டவரின் சாதனத்திலிருந்து ஒரு கோப்பைப் பதிவேற்றுகிறது[.]sh
👉 - ஓஷியில் ஹோஸ்ட் செய்யப்பட்ட கோப்பை பாதிக்கப்பட்டவரின் சாதனத்தில் பதிவிறக்குகிறது
🦊 - பாதிக்கப்பட்டவரின் சாதனத்தில் உள்ள Mozilla Firefox சுயவிவரங்களை ZIP காப்பகத்தில் சேகரிக்கிறது
🕐 - கட்டளை செயலாக்கப்படுவதைத் தாக்குபவர்க்குத் தெரிவிக்கிறது
🔥 - குறிப்பிட்ட நீட்டிப்புகளுடன் கோப்புகளைத் தேடுகிறது மற்றும் வெளியேற்றுகிறது: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS மற்றும் ZIP
தீம்பொருள் ஒவ்வொரு பாதிக்கப்பட்டவருக்கும் டிஸ்கார்ட் சேவையகத்தில் ஒரு தனி சேனலை நிறுவுகிறது, இந்த சேனல்கள் மூலம் தாக்குபவர் ஒவ்வொரு பாதிக்கப்பட்டவருடனும் தனித்தனியாக தொடர்பு கொள்ள அனுமதிக்கிறது.
டிஸ்கோமோஜியின் வெவ்வேறு பதிப்புகள் பொருத்தப்பட்ட ஷோ மாறுபாடுகள்
நிலைத்தன்மையை நிலைநிறுத்தும் திறன், நகல் DISGOMOJI செயல்முறைகளை ஒரே நேரத்தில் செயல்படுத்துவதைத் தடுப்பது, இயக்க நேரத்தில் டிஸ்கார்ட் சர்வர் இணைப்புக்கான நற்சான்றிதழ்களை மாறும் வகையில் மீட்டெடுப்பது மற்றும் தவறான செய்தி மற்றும் பிழையான தகவலை வழங்குவதன் மூலம் பகுப்பாய்வுகளை தெளிவுபடுத்துவது உள்ளிட்ட மேம்பட்ட அம்சங்களைக் கொண்ட DISGOMOJI இன் பல்வேறு மறு செய்கைகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர்.
கூடுதலாக, அச்சுறுத்தல் நடிகர் UTA0137 நெட்வொர்க் ஸ்கேனிங் மற்றும் சுரங்கப்பாதை நோக்கங்களுக்காக Nmap, Chisel மற்றும் Ligolo போன்ற முறையான மற்றும் திறந்த-மூலக் கருவிகளைப் பயன்படுத்துவதைக் காண முடிந்தது. Linux ஹோஸ்ட்களில் சிறப்புரிமை அதிகரிப்பைப் பெற சமீபத்திய பிரச்சாரம் DirtyPipe பாதிப்பை (CVE-2022-0847) பயன்படுத்திக் கொண்டது. சுரண்டலுக்குப் பிந்தைய மற்றொரு தந்திரோபாயம், பயர்பாக்ஸ் புதுப்பிப்பாகக் காட்டி மோசடியான உரையாடல் பெட்டியைக் காண்பிக்க Zenity பயன்பாட்டைப் பயன்படுத்துகிறது, இது பயனர்களின் கடவுச்சொற்களை வெளிப்படுத்தும் வகையில் ஏமாற்றுவதை நோக்கமாகக் கொண்டுள்ளது.
