DISGOMOJI マルウェア

2024年にインド政府機関を標的としたサイバースパイ活動は、パキスタンを拠点とする脅威アクターによるものとみられています。セキュリティ専門家は、UTA0137として識別されるこの活動を監視しており、DISGOMOJIという独自のマルウェアを使用しています。Go言語で書かれたこのマルウェアは、特にLinuxシステムを標的としています。

DISGOMOJI が合法的な Discord プラットフォームを悪用

DISGOMOJI は、コマンド アンド コントロール (C2) 操作に Discord メッセージング サービスを活用し、コミュニケーション用に絵文字を統合した、公開 Discord-C2 プロジェクトのカスタマイズされたバージョンです。

興味深いことに、DISGOMOJI は、パキスタンに関連するハッキング グループである Transparent Tribe による攻撃に関連するインフラストラクチャ分析中にサイバー セキュリティ研究者によって以前に特定された包括的なスパイ ツールと同一のものです。

DISGOMOJI マルウェアは Discord 絵文字を介して制御されます

この攻撃は、ZIP アーカイブ内に Golang ELF バイナリが同封されたスピアフィッシング メールから始まります。バイナリが実行されると、無害なおとり文書が取得され、同時にリモート サーバーから DISGOMOJI ペイロードがひそかにダウンロードされます。

Discord-C2 のカスタマイズ版である DISGOMOJI は、攻撃者が管理する Discord サーバーからホスト データを収集し、コマンドを実行するように設計されています。さまざまな絵文字を使用してコマンドを送信および解釈する独自の方法を採用しています。

✅ - コマンドの完了を示します

💀 - 被害者のデバイス上のマルウェアのプロセスを終了します

🏃‍♂️ - 被害者のデバイス上でコマンドを実行する

📸 - 被害者の画面のスクリーンショットを撮る

👇 - 被害者のデバイスからチャネルにファイルをアップロードする

☝️ - 被害者のデバイスにファイルをダウンロードする

👈 - 被害者のデバイスからファイルをアップロードして転送する[.]sh

👉 - oshi[.]at にホストされているファイルを被害者のデバイスにダウンロードします

🦊 - 被害者のデバイス上の Mozilla Firefox プロファイルを ZIP アーカイブに収集します

🕐 - コマンドが処理中であることを攻撃者に通知する

🔥 - 特定の拡張子を持つファイルを検索して抽出します: CSV、DOC、ISO、JPG、ODP、ODS、ODT、PDF、PPT、RAR、SQL、TAR、XLS、ZIP

マルウェアは Discord サーバー上に被害者ごとに個別のチャネルを確立し、攻撃者がこれらのチャネルを通じて各被害者と個別にやり取りできるようにします。

DISGOMOJI の異なるバージョンは、機能に違いがあることを示しています

研究者らは、永続性を確立する機能、重複する DISGOMOJI プロセスの同時実行を防ぐ機能、実行時に Discord サーバー接続の資格情報を動的に取得する機能、誤解を招く情報やエラー メッセージを表示して分析を難読化する機能など、高度な機能を備えた DISGOMOJI のさまざまなバージョンを発見しました。

さらに、脅威アクター UTA0137 は、ネットワークスキャンやトンネリングの目的で、Nmap、 Chisel 、Ligolo などの合法的なオープンソースツールを利用していることが確認されています。最近のキャンペーンでは、DirtyPipe の脆弱性 (CVE-2022-0847) を悪用して、Linux ホストで権限昇格を獲得しました。エクスプロイト後の別の戦術では、Zenity ユーティリティを使用して、Firefox のアップデートを装った不正なダイアログボックスを表示し、ユーザーを騙してパスワードを明かさせようとします。