Phần mềm độc hại DISGOMOJI

Một chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ Ấn Độ vào năm 2024 được cho là do một tác nhân đe dọa bị nghi ngờ có trụ sở tại Pakistan thực hiện. Các chuyên gia bảo mật đang theo dõi chiến dịch này, được xác định là UTA0137, sử dụng phần mềm độc hại độc nhất có tên DISGOMOJI. Phần mềm độc hại này, được viết bằng Golang, nhắm mục tiêu cụ thể vào các hệ thống Linux.

DISGOMOJI Khai thác nền tảng bất hòa hợp pháp

DISGOMOJI là phiên bản tùy chỉnh của dự án Discord-C2 công khai, sử dụng dịch vụ nhắn tin Discord cho các hoạt động Ra lệnh và Kiểm soát (C2), với biểu tượng cảm xúc được tích hợp để liên lạc.

Điều thú vị là DISGOMOJI chính là công cụ gián điệp toàn diện giống hệt công cụ này đã được các nhà nghiên cứu an ninh mạng xác định trước đó trong quá trình phân tích cơ sở hạ tầng liên quan đến cuộc tấn công do nhóm Minh bạch Tribe, một nhóm hack có liên kết với Pakistan.

Phần mềm độc hại DISGOMOJI được kiểm soát thông qua biểu tượng cảm xúc Discord

Cuộc tấn công bắt đầu bằng các email lừa đảo có chứa tệp nhị phân Golang ELF được đính kèm trong kho lưu trữ ZIP. Sau khi thực thi, tệp nhị phân sẽ tìm nạp một tài liệu mồi nhử vô hại trong khi tải xuống tải trọng DISGOMOJI một cách kín đáo từ máy chủ từ xa.

DISGOMOJI, một phiên bản tùy chỉnh của Discord-C2, được thiết kế để thu thập dữ liệu máy chủ và thực thi các lệnh từ máy chủ Discord do kẻ tấn công kiểm soát. Nó cười một phương pháp gửi và giải thích lệnh độc đáo thông qua nhiều biểu tượng cảm xúc khác nhau:

✅ - Biểu thị sự hoàn thành của một lệnh

💀 - Chấm dứt quá trình phát tán phần mềm độc hại trên thiết bị của nạn nhân

🏃‍♂️ - Thực thi lệnh trên thiết bị của nạn nhân

📸 - Chụp ảnh màn hình của nạn nhân

👇 - Tải file từ máy nạn nhân lên kênh

☝️ - Tải file về máy nạn nhân

👈 - Tải file từ thiết bị của nạn nhân lên để truyền[.]sh

👉 - Tải file được lưu trữ trên oshi[.]at về thiết bị của nạn nhân

🦊 - Tập hợp hồ sơ Mozilla Firefox trên thiết bị của nạn nhân vào kho lưu trữ ZIP

🕐 - Thông báo cho kẻ tấn công rằng lệnh đang được xử lý

🔥 - Tìm kiếm và lọc các tệp có phần mở rộng cụ thể: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS và ZIP

Phần mềm độc hại thiết lập một kênh riêng trên máy chủ Discord cho từng nạn nhân, cho phép kẻ tấn công tương tác riêng với từng nạn nhân thông qua các kênh này.

Các phiên bản khác nhau của DISGOMOJI được trang bị cho thấy sự khác biệt về khả năng

Các nhà nghiên cứu đã phát hiện ra nhiều phiên bản khác nhau của DISGOMOJI được trang bị các tính năng nâng cao, bao gồm khả năng thiết lập tính bền vững, ngăn chặn việc thực thi đồng thời các quy trình DISGOMOJI trùng lặp, tự động truy xuất thông tin đăng nhập cho kết nối máy chủ Discord trong thời gian chạy và phân tích làm xáo trộn bằng cách đưa ra thông tin sai lệch và thông báo lỗi.

Ngoài ra, người ta còn quan sát thấy tác nhân đe dọa UTA0137 đang tận dụng các công cụ nguồn mở và hợp pháp như Nmap, Chisel và Ligolo cho mục đích quét mạng và tạo đường hầm. Một chiến dịch gần đây đã khai thác lỗ hổng DirtyPipe (CVE-2022-0847) để leo thang đặc quyền trên máy chủ Linux. Một chiến thuật khác sau khi khai thác là sử dụng tiện ích Zenity để hiển thị hộp thoại lừa đảo giả dạng bản cập nhật Firefox, nhằm mục đích đánh lừa người dùng tiết lộ mật khẩu của họ.