DISGOMOJI Malware
Ang isang cyberespionage campaign na nagta-target sa mga entidad ng gobyerno ng India noong 2024 ay iniugnay sa isang pinaghihinalaang aktor ng pagbabanta na nakabase sa Pakistan. Sinusubaybayan ng mga eksperto sa seguridad ang kampanyang ito, na kinilala bilang UTA0137, na gumagamit ng isang natatanging malware na pinangalanang DISGOMOJI. Ang malware na ito, na nakasulat sa Golang, ay partikular na nagta-target sa mga system ng Linux.
Talaan ng mga Nilalaman
Sinasamantala ng DISGOMOJI ang Lehitimong Discord Platform
Ang DISGOMOJI ay isang naka-customize na pag-ulit ng pampublikong proyekto ng Discord-C2, gamit ang serbisyo sa pagmemensahe ng Discord para sa mga operasyon ng Command-and-Control (C2), na may mga emoji na isinama para sa komunikasyon.
Kapansin-pansin, ang DISGOMOJI ay ang magkaparehong komprehensibong tool sa espiya na dati nang natukoy ng mga mananaliksik sa cybersecurity sa panahon ng pagsusuri sa imprastraktura na nauugnay sa isang pag-atake na iniuugnay sa aktor ng Transparent Tribe, isang pangkat ng pag-hack na naka-link sa Pakistan.
Ang DISGOMOJI Malware ay Kinokontrol sa pamamagitan ng Discord Emojis
Ang pag-atake ay nagsisimula sa spear-phishing na mga email na naglalaman ng isang Golang ELF binary na nakapaloob sa isang ZIP archive. Kapag naisakatuparan, kinukuha ng binary ang isang hindi nakakapinsalang dokumento ng decoy habang maingat na dina-download ang DISGOMOJI payload mula sa isang malayong server.
Ang DISGOMOJI, isang naka-customize na bersyon ng Discord-C2, ay ginawa upang mangalap ng data ng host at magsagawa ng mga utos mula sa isang Discord server na kinokontrol ng umaatake. Pinagtatawanan nito ang isang natatanging paraan ng pagpapadala at pagbibigay-kahulugan ng mga utos sa pamamagitan ng iba't ibang emojis:
✅ - Nagsasaad ng pagkumpleto ng isang utos
💀 - Tinatapos ang proseso ng malware sa device ng biktima
🏃♂️ - Nagsasagawa ng command sa device ng biktima
📸 - Kumuha ng screenshot ng screen ng biktima
👇 - Nag-a-upload ng file mula sa device ng biktima patungo sa channel
☝️ - Nagda-download ng file sa device ng biktima
👈 - Nag-a-upload ng file mula sa device ng biktima para ilipat[.]sh
👉 - Nagda-download ng file na naka-host sa oshi[.]at sa device ng biktima
🦊 - Kinokolekta ang mga profile ng Mozilla Firefox sa device ng biktima sa isang ZIP archive
🕐 - Ipinapaalam sa umaatake na pinoproseso ang command
🔥 - Naghahanap at naglalabas ng mga file na may mga partikular na extension: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, at ZIP
Ang malware ay nagtatatag ng hiwalay na channel sa Discord server para sa bawat biktima, na nagpapahintulot sa umaatake na makipag-ugnayan sa bawat biktima nang paisa-isa sa pamamagitan ng mga channel na ito.
Iba't ibang Bersyon ng DISGOMOJI na Nilagyan ng Mga Pagkakaiba-iba sa Mga Kakayahan
Natuklasan ng mga mananaliksik ang iba't ibang mga pag-ulit ng DISGOMOJI na nilagyan ng mga advanced na tampok, kabilang ang kakayahang magtatag ng pagtitiyaga, maiwasan ang sabay-sabay na pagpapatupad ng mga duplicate na proseso ng DISGOMOJI, dynamic na kumukuha ng mga kredensyal para sa koneksyon ng Discord server sa runtime at obfuscate na pagsusuri sa pamamagitan ng pagpapakita ng mga mapanlinlang na mensahe ng impormasyon at error.
Bilang karagdagan, ang banta ng aktor na UTA0137 ay naobserbahang gumagamit ng mga lehitimong at open-source na tool gaya ng Nmap, Chisel , at Ligolo para sa pag-scan at pag-tunnel ng network na layunin. Sinamantala ng kamakailang kampanya ang kahinaan ng DirtyPipe (CVE-2022-0847) upang makakuha ng pagtaas ng pribilehiyo sa mga host ng Linux. Ang isa pang taktika pagkatapos ng pagsasamantala ay nagsasangkot ng paggamit ng Zenity utility upang magpakita ng isang mapanlinlang na dialog box na nagpapanggap bilang isang update sa Firefox, na naglalayong linlangin ang mga user na ibunyag ang kanilang mga password.
