Een vermoedelijke in Pakistan gevestigde bedreigingsacteur is in verband gebracht met een cyberspionagecampagne tegen Indiase overheidsinstanties in 2024.
Cyberbeveiligingsbedrijf Volexity volgt de activiteit onder de naam UTA0137 en merkt op dat de tegenstander exclusief gebruik maakt van een malware genaamd DISGOMOJI die is geschreven in Golang en is ontworpen om Linux-systemen te infecteren.
“Het is een aangepaste versie van het publieke project Discord-C2, dat de berichtendienst Discord gebruikt voor commando en controle (C2), en gebruik maakt van emoji's voor zijn C2-communicatie”, aldus het rapport.
Het is vermeldenswaard dat DISGOMOJI dezelfde ‘alles-in-één’ spionagetool is die BlackBerry naar eigen zeggen heeft ontdekt als onderdeel van een infrastructuuranalyse in verband met een aanvalscampagne van de Transparent Tribe-acteur, een hackersploeg uit Pakistan.
De aanvalsketens beginnen met spearphishing-e-mails met een binair Golang ELF-bestand, afgeleverd in een ZIP-archiefbestand. Het binaire bestand downloadt vervolgens een goedaardig lokdocument terwijl het ook heimelijk de DISGOMOJI-payload downloadt van een externe server.
DISGOMOJI is een aangepaste vork van Discord-C2 en is ontworpen om hostinformatie vast te leggen en opdrachten uit te voeren die worden ontvangen van een door een aanvaller bestuurde Discord-server. In een interessante wending worden de commando's verzonden in de vorm van verschillende emoji's –
- 🏃♂️ – Voer een opdracht uit op het apparaat van het slachtoffer
- 📸 – Maak een screenshot van het scherm van het slachtoffer
- 👇 – Upload een bestand vanaf het apparaat van het slachtoffer naar het kanaal
- 👈 – Upload een bestand vanaf het apparaat van het slachtoffer om (.)sh over te dragen
- ☝️ – Download een bestand naar het apparaat van het slachtoffer
- 👉 – Download een bestand dat wordt gehost op oshi(.)at naar het apparaat van het slachtoffer
- 🔥 – Vind en exfiltreer bestanden die overeenkomen met de volgende extensies: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS en ZIP
- 🦊 – Verzamel alle Mozilla Firefox-profielen op het apparaat van het slachtoffer in een ZIP-archief
- 💀 – Beëindig het malwareproces op het apparaat van het slachtoffer
“De malware creëert een speciaal kanaal voor zichzelf op de Discord-server, wat betekent dat elk kanaal op de server een individueel slachtoffer vertegenwoordigt”, aldus Volexity. “De aanvaller kan via deze kanalen vervolgens met elk slachtoffer afzonderlijk communiceren.”
Het bedrijf zei dat het verschillende varianten van DISGOMOJI heeft opgegraven met mogelijkheden om persistentie tot stand te brengen, te voorkomen dat dubbele DISGOMOJI-processen tegelijkertijd worden uitgevoerd, dynamisch de inloggegevens op te halen om tijdens runtime verbinding te maken met de Discord-server in plaats van ze hard te coderen, en analyse af te schrikken door valse berichten weer te geven. informatieve en foutmeldingen.
Er is ook waargenomen dat UTA0137 legitieme en open-source tools zoals Nmap, Chisel en Ligolo gebruikt voor respectievelijk netwerkscans en tunnelingdoeleinden, waarbij een recente campagne ook misbruik maakte van de DirtyPipe-fout (CVE-2022-0847) om escalatie van bevoegdheden tegen Linux te bewerkstelligen gastheren.
Een andere post-exploitatietactiek betreft het gebruik van het Zenity-hulpprogramma om een kwaadaardig dialoogvenster weer te geven dat zich voordoet als een Firefox-update, om gebruikers sociaal te manipuleren om hun wachtwoorden op te geven.
“De aanvaller slaagde erin een aantal slachtoffers te infecteren met hun Golang-malware, DISGOMOJI”, aldus Volexity. “UTA0137 heeft DISGOMOJI in de loop van de tijd verbeterd.”