DISGOMOJI 恶意软件

2024 年，针对印度政府实体的网络间谍活动被归咎于一名来自巴基斯坦的疑似威胁行为者。安全专家正在监控这一活动，该活动被识别为 UTA0137，它使用了一种名为 DISGOMOJI 的独特恶意软件。这种恶意软件用 Golang 编写，专门针对 Linux 系统。

DISGOMOJI 利用合法的 Discord 平台

DISGOMOJI 是公共 Discord-C2 项目的定制迭代，利用 Discord 消息服务进行命令和控制 (C2) 操作，并集成表情符号以便于通信。

有趣的是，DISGOMOJI 与网络安全研究人员之前在与巴基斯坦黑客组织 Transparent Tribe 发起的攻击相关的基础设施分析中发现的综合间谍工具完全相同。

DISGOMOJI 恶意软件通过 Discord Emojis 进行控制

攻击始于包含 ZIP 存档中的 Golang ELF 二进制文件的鱼叉式网络钓鱼电子邮件。执行后，该二进制文件会获取无害的诱饵文档，同时从远程服务器秘密下载 DISGOMOJI 有效负载。

DISGOMOJI 是 Discord-C2 的定制版本，旨在收集主机数据并从攻击者控制的 Discord 服务器执行命令。它采用了一种独特的方法，通过各种表情符号发送和解释命令：

✅ - 表示命令完成

💀——终止受害者设备上的恶意软件进程

🏃‍♂️——在受害者的设备上执行命令

📸——截取受害者的屏幕截图

👇——将文件从受害者的设备上传到频道

☝️-将文件下载到受害者的设备

👈 - 从受害者的设备上传文件到 transfer[.]sh

👉-将托管在 oshi[.]at 上的文件下载到受害者的设备

🦊 - 将受害者设备上的 Mozilla Firefox 配置文件收集到 ZIP 压缩文件中

🕐——通知攻击者命令正在处理中

🔥 - 搜索并提取具有特定扩展名的文件：CSV、DOC、ISO、JPG、ODP、ODS、ODT、PDF、PPT、RAR、SQL、TAR、XLS 和 ZIP

该恶意软件在 Discord 服务器上为每个受害者建立一个单独的频道，允许攻击者通过这些频道与每个受害者单独互动。

不同版本的 DISGOMOJI 配备的功能存在差异

研究人员发现了配备高级功能的 DISGOMOJI 的各种迭代，包括建立持久性、防止同时执行重复的 DISGOMOJI 进程、在运行时动态检索 Discord 服务器连接的凭据以及通过呈现误导性的信息和错误消息来混淆分析。

此外，据观察，威胁行为者 UTA0137 利用合法开源工具（如 Nmap、 Chisel和 Ligolo）进行网络扫描和隧道传输。最近的一次活动利用 DirtyPipe 漏洞 (CVE-2022-0847) 在 Linux 主机上获得特权提升。利用后的另一种策略是使用 Zenity 实用程序显示伪装成 Firefox 更新的欺诈性对话框，旨在欺骗用户泄露密码。