DISGOMOJI 惡意軟體

2024 年針對印度政府實體的網路間諜活動被歸咎於巴基斯坦的可疑威脅行為者。安全專家正在監控這項名為 UTA0137 的活動，該活動使用了名為 DISGOMOJI 的獨特惡意軟體。該惡意軟體以 Golang 編寫，專門針對 Linux 系統。

DISGOMOJI 利用合法的 Discord 平台

DISGOMOJI 是公共 Discord-C2 專案的客製化迭代，利用 Discord 訊息服務進行命令和控制 (C2) 操作，並整合了表情符號以進行通訊。

有趣的是，DISGOMOJI 與先前網路安全研究人員在與透明部落攻擊者（與巴基斯坦有聯繫的駭客組織）發起的攻擊相關的基礎設施分析中發現的綜合間諜工具相同。

DISGOMOJI 惡意軟體是透過 Discord 表情符號控制的

攻擊從魚叉式網路釣魚電子郵件開始，其中包含 ZIP 檔案中包含的 Golang ELF 二進位。執行後，二進位檔案會取得無害的誘餌文檔，同時從遠端伺服器謹慎下載 DISGOMOJI 有效負載。

DISGOMOJI 是 Discord-C2 的定製版本，旨在收集主機資料並從攻擊者控制的 Discord 伺服器執行命令。它笑了一種透過各種表情符號發送和解釋命令的獨特方法：

✅ - 表示指令完成

💀 - 終止受害者裝置上的惡意軟體進程

🏃‍♂️ - 在受害者的裝置上執行指令

📸 - 截取受害者螢幕的螢幕截圖

👇 - 將檔案從受害者的裝置上傳到頻道

☝️ - 將檔案下載到受害者的裝置上

👈 - 從受害者裝置上傳檔案以傳輸[.]sh

👉 - 將 oshi[.]at 上託管的檔案下載到受害者的裝置上

🦊 - 將受害者裝置上的 Mozilla Firefox 設定檔收集到 ZIP 檔案中

🕐 - 通知攻擊者指令正在處理中

🔥 - 搜尋並提取具有特定副檔名的檔案：CSV、DOC、ISO、JPG、ODP、ODS、ODT、PDF、PPT、RAR、SQL、TAR、XLS 和 ZIP

該惡意軟體在 Discord 伺服器上為每個受害者建立一個單獨的通道，允許攻擊者透過這些通道單獨與每個受害者進行互動。

不同版本的 DISGOMOJI 所配備的功能有所不同

研究人員發現DISGOMOJI 的各種迭代配備了高級功能，包括建立持久性、防止同時執行重複的DISGOMOJI 進程、在運行時動態檢索Discord 伺服器連接的憑證以及透過呈現誤導性資訊和錯誤訊息來混淆分析的能力。

此外，據觀察，威脅發起者 UTA0137 利用 Nmap、 Chisel和 Ligolo 等合法開源工具進行網路掃描和隧道傳輸。最近的活動利用 DirtyPipe 漏洞 (CVE-2022-0847) 在 Linux 主機上取得權限升級。另一種後利用策略是使用 Zenity 實用程式顯示冒充 Firefox 更新的詐騙對話框，旨在欺騙用戶洩露密碼。