มัลแวร์ DISGOMOJI
แคมเปญจารกรรมทางไซเบอร์ที่มุ่งเป้าไปที่หน่วยงานรัฐบาลอินเดียในปี 2024 มีสาเหตุมาจากผู้ต้องสงสัยเป็นภัยคุกคามในปากีสถาน ผู้เชี่ยวชาญด้านความปลอดภัยกำลังติดตามแคมเปญนี้ ซึ่งระบุว่าเป็น UTA0137 ซึ่งใช้มัลแวร์เฉพาะชื่อ DISGOMOJI มัลแวร์นี้เขียนด้วยภาษา Golang มุ่งเป้าไปที่ระบบ Linux โดยเฉพาะ
สารบัญ
DISGOMOJI ใช้ประโยชน์จากแพลตฟอร์ม Discord ที่ถูกต้องตามกฎหมาย
DISGOMOJI เป็นการทำซ้ำที่กำหนดเองของโครงการ Discord-C2 สาธารณะ โดยใช้บริการส่งข้อความ Discord สำหรับการดำเนินการ Command-and-Control (C2) โดยมีอิโมจิที่ผสานรวมเพื่อการสื่อสาร
สิ่งที่น่าสนใจคือ DISGOMOJI เป็นเครื่องมือจารกรรมแบบเดียวกันที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุไว้ก่อนหน้านี้ ในระหว่างการวิเคราะห์โครงสร้างพื้นฐานที่เกี่ยวข้องกับการโจมตีที่เกิดจากนักแสดงชาว Transparent Tribe ซึ่งเป็นกลุ่มแฮ็กที่เชื่อมโยงกับปากีสถาน
มัลแวร์ DISGOMOJI ถูกควบคุมผ่าน Discord Emojis
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งแบบหอกที่มีไบนารี Golang ELF อยู่ภายในไฟล์ ZIP เมื่อดำเนินการ ไบนารีจะดึงเอกสารล่อที่ไม่เป็นอันตรายในขณะที่ดาวน์โหลดเพย์โหลด DISGOMOJI จากเซิร์ฟเวอร์ระยะไกลอย่างรอบคอบ
DISGOMOJI ซึ่งเป็นเวอร์ชันที่กำหนดเองของ Discord-C2 ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลโฮสต์และดำเนินการคำสั่งจากเซิร์ฟเวอร์ Discord ที่ควบคุมโดยผู้โจมตี มันหัวเราะวิธีการส่งและตีความคำสั่งผ่านอิโมจิต่างๆ:
✅ - บ่งบอกถึงความสมบูรณ์ของคำสั่ง
🎃 - ยุติกระบวนการมัลแวร์บนอุปกรณ์ของเหยื่อ
🏃♂️ - ดำเนินการคำสั่งบนอุปกรณ์ของเหยื่อ
📸 - ถ่ายภาพหน้าจอหน้าจอของเหยื่อ
👇 - อัพโหลดไฟล์จากเครื่องเหยื่อลงช่อง
JP ️ - ดาวน์โหลดไฟล์ไปยังอุปกรณ์ของเหยื่อ
👈 - อัปโหลดไฟล์จากอุปกรณ์ของเหยื่อเพื่อถ่ายโอน[.]sh
👉 - ดาวน์โหลดไฟล์ที่โฮสต์บน oshi[.]at ไปยังอุปกรณ์ของเหยื่อ
🦊 - รวบรวมโปรไฟล์ Mozilla Firefox บนอุปกรณ์ของเหยื่อลงในไฟล์ ZIP
🕐 - แจ้งผู้โจมตีว่ากำลังประมวลผลคำสั่ง
🔥 - ค้นหาและกรองไฟล์ที่มีนามสกุลเฉพาะ: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS และ ZIP
มัลแวร์สร้างช่องทางแยกต่างหากบนเซิร์ฟเวอร์ Discord สำหรับเหยื่อแต่ละราย ช่วยให้ผู้โจมตีสามารถโต้ตอบกับเหยื่อแต่ละรายเป็นรายบุคคลผ่านช่องทางเหล่านี้
DISGOMOJI เวอร์ชันต่างๆ ที่ติดตั้งไว้จะแสดงความสามารถที่หลากหลาย
นักวิจัยได้ค้นพบการทำซ้ำต่างๆ ของ DISGOMOJI ที่มาพร้อมกับคุณสมบัติขั้นสูง รวมถึงความสามารถในการสร้างความคงอยู่ ป้องกันการดำเนินการที่ซ้ำกันของกระบวนการ DISGOMOJI พร้อมกัน ดึงข้อมูลรับรองแบบไดนามิกสำหรับการเชื่อมต่อเซิร์ฟเวอร์ Discord ณ รันไทม์ และการวิเคราะห์ที่สับสนโดยการนำเสนอข้อความข้อมูลและข้อผิดพลาดที่ทำให้เข้าใจผิด
นอกจากนี้ ผู้คุกคาม UTA0137 ยังถูกพบว่าใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สที่ถูกกฎหมาย เช่น Nmap, Chisel และ Ligolo เพื่อการสแกนเครือข่ายและการขุดอุโมงค์ แคมเปญล่าสุดใช้ประโยชน์จากช่องโหว่ DirtyPipe (CVE-2022-0847) เพื่อเพิ่มระดับสิทธิ์บนโฮสต์ Linux กลยุทธ์หลังการหาประโยชน์อีกประการหนึ่งเกี่ยวข้องกับการใช้ยูทิลิตี้ Zenity เพื่อแสดงกล่องโต้ตอบหลอกลวงที่ปลอมแปลงเป็นการอัปเดต Firefox โดยมีจุดมุ่งหมายเพื่อหลอกลวงผู้ใช้ให้เปิดเผยรหัสผ่านของตน
