DISGOMOJI Kötü Amaçlı Yazılım
2024'te Hindistan hükümet kuruluşlarını hedef alan bir siber casusluk kampanyası, Pakistan merkezli şüpheli bir tehdit aktörüne atfedildi. Güvenlik uzmanları, DISGOMOJI adlı benzersiz bir kötü amaçlı yazılımın kullanıldığı, UTA0137 olarak tanımlanan bu kampanyayı izliyor. Golang'da yazılan bu kötü amaçlı yazılım özellikle Linux sistemlerini hedef alıyor.
İçindekiler
DISGOMOJI Meşru Discord Platformunu İstismar Ediyor
DISGOMOJI, iletişim için entegre emojilerle Komuta ve Kontrol (C2) işlemleri için Discord mesajlaşma hizmetini kullanan, halka açık Discord-C2 projesinin özelleştirilmiş bir yinelemesidir.
İlginçtir ki DISGOMOJI, Pakistan bağlantılı bir bilgisayar korsanlığı grubu olan Transparent Tribe aktörüne atfedilen bir saldırıyla ilgili bir altyapı analizi sırasında siber güvenlik araştırmacıları tarafından daha önce tanımlanan kapsamlı casusluk aracının aynısıdır.
DISGOMOJI Kötü Amaçlı Yazılımı Discord Emojileri ile Kontrol Ediliyor
Saldırı, ZIP arşivi içine alınmış bir Golang ELF ikili dosyasını içeren hedef odaklı kimlik avı e-postalarıyla başlıyor. Çalıştırıldıktan sonra ikili, uzak bir sunucudan DISGOMOJI yükünü gizlice indirirken zararsız bir sahte belge getirir.
Discord-C2'nin özelleştirilmiş bir sürümü olan DISGOMOJI, saldırgan tarafından kontrol edilen bir Discord sunucusundan ana bilgisayar verilerini toplamak ve komutları yürütmek üzere tasarlanmıştır. Çeşitli emojiler aracılığıyla komutları göndermenin ve yorumlamanın benzersiz bir yöntemini gülüyor:
✅ - Bir komutun tamamlandığını gösterir
💀 - Kurbanın cihazındaki kötü amaçlı yazılım sürecini sonlandırır
🏃♂️ - Kurbanın cihazında bir komut çalıştırır
📸 - Kurbanın ekranının ekran görüntüsünü alır
👇 - Kurbanın cihazından kanala bir dosya yükler
☝️ - Kurbanın cihazına bir dosya indirir
👈 - Kurbanın cihazından[.]sh aktarımı için bir dosya yükler
👉 - Oshi[.]at'te barındırılan bir dosyayı kurbanın cihazına indirir
🦊 - Kurbanın cihazındaki Mozilla Firefox profillerini ZIP arşivinde toplar
🕐 - Saldırgana komutun işlendiğini bildirir
🔥 - Belirli uzantılara sahip dosyaları arar ve dışarı çıkarır: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS ve ZIP
Kötü amaçlı yazılım, Discord sunucusunda her kurban için ayrı bir kanal kurarak saldırganın bu kanallar üzerinden her kurbanla ayrı ayrı etkileşime geçmesine olanak tanıyor.
DISGOMOJI Donanımlı Farklı Versiyonları Yeteneklerdeki Farklılıkları Gösteriyor
Araştırmacılar, kalıcılık oluşturma, yinelenen DISGOMOJI işlemlerinin aynı anda yürütülmesini önleme, çalışma zamanında Discord sunucu bağlantısı için kimlik bilgilerini dinamik olarak alma ve yanıltıcı bilgi ve hata mesajları sunarak analizleri karartma gibi gelişmiş özelliklerle donatılmış çeşitli DISGOMOJI yinelemelerini keşfettiler.
Ayrıca tehdit aktörü UTA0137'nin ağ tarama ve tünel oluşturma amacıyla Nmap, Chisel ve Ligolo gibi meşru ve açık kaynaklı araçlardan yararlandığı gözlemlendi. Yakın zamanda yapılan bir kampanya, Linux ana bilgisayarlarında ayrıcalık yükseltme elde etmek için DirtyPipe güvenlik açığından (CVE-2022-0847) yararlandı. İstismar sonrası başka bir taktik, Zenity yardımcı programının kullanılarak, Firefox güncellemesi gibi görünen sahte bir iletişim kutusunun görüntülenmesi ve kullanıcıları şifrelerini ifşa etmeleri için kandırmayı amaçlamaktadır.
