DISGOMOJI Шкідливе програмне забезпечення
Кампанію кібершпигунства, націлену на індійські державні установи у 2024 році, приписують підозрюваному загрозливому актору, який базується в Пакистані. Експерти з безпеки спостерігають за цією кампанією, ідентифікованою як UTA0137, яка використовує унікальне шкідливе програмне забезпечення під назвою DISGOMOJI. Це зловмисне програмне забезпечення, написане мовою Golang, спрямоване саме на системи Linux.
Зміст
DISGOMOJI використовує платформу Legitimate Discord
DISGOMOJI — це налаштована ітерація загальнодоступного проекту Discord-C2, яка використовує службу обміну повідомленнями Discord для операцій командування та контролю (C2) з інтегрованими емодзі для спілкування.
Цікаво, що DISGOMOJI є ідентичним комплексним інструментом шпигунства, який раніше ідентифікували дослідники кібербезпеки під час аналізу інфраструктури, пов’язаної з атакою, яку приписують актору Transparent Tribe, хакерській групі, пов’язаній з Пакистаном.
Зловмисне програмне забезпечення DISGOMOJI контролюється через Discord Emojis
Атака починається з фішингових електронних листів, що містять двійковий файл Golang ELF, укладений у ZIP-архів. Після виконання двійковий файл отримує нешкідливий документ-приманку, одночасно непомітно завантажуючи корисне навантаження DISGOMOJI з віддаленого сервера.
DISGOMOJI, налаштована версія Discord-C2, розроблена для збору даних хоста та виконання команд із сервера Discord, яким керує зловмисник. Це сміється унікальний метод надсилання та інтерпретації команд за допомогою різних емодзі:
✅ - вказує на завершення команди
💀 - Припиняє процес шкідливого програмного забезпечення на пристрої жертви
🏃♂️ - Виконує команду на пристрої жертви
📸 - Робить скріншот екрана жертви
👇 - Завантажує файл з пристрою жертви на канал
☝️ - Завантажує файл на пристрій жертви
👈 - Завантажує файл із пристрою жертви для передачі[.]sh
👉 - Завантажує файл, розміщений на oshi[.]at, на пристрій жертви
🦊 - Збирає профілі Mozilla Firefox на пристрої жертви в ZIP-архів
🕐 - інформує зловмисника, що команда обробляється
🔥 - Шукає та вилучає файли з певними розширеннями: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS і ZIP
Зловмисне програмне забезпечення встановлює окремий канал на сервері Discord для кожної жертви, дозволяючи зловмиснику взаємодіяти з кожною жертвою окремо через ці канали.
Різні версії обладнаних DISGOMOJI демонструють варіації можливостей
Дослідники виявили різні ітерації DISGOMOJI, оснащені розширеними функціями, включаючи можливість встановлення постійності, запобігання одночасному виконанню дублікатів процесів DISGOMOJI, динамічне отримання облікових даних для підключення до сервера Discord під час виконання та обфускацію аналізу, показуючи оманливу інформацію та повідомлення про помилки.
Крім того, помічено, що зловмисник UTA0137 використовує законні інструменти з відкритим кодом, такі як Nmap, Chisel і Ligolo, для сканування мережі та тунелювання. Недавня кампанія використовувала вразливість DirtyPipe (CVE-2022-0847), щоб отримати ескалацію привілеїв на хостах Linux. Інша тактика після експлуатації передбачає використання утиліти Zenity для відображення шахрайського діалогового вікна, яке видається за оновлення Firefox, з метою обману змусити користувачів розкрити їхні паролі.
