Hacker nutzen Discord-Emojis zur Steuerung von Linux-Malware

Die Cybersicherheitsfirma Volexity hat kürzlich eine Cyber-Spionage-Marketingkampagne identifiziert, die 2024 auf indische Regierungsbehörden abzielt und eine benutzerdefinierte Linux-Malware verwendet.

Die neu entdeckte Linux-Malware, DISGOMOJI, wird einem in Pakistan ansässigen Bedrohungsakteur namens UTA0137 zugeschrieben. Sie ist in Golang geschrieben und für Linux-Systeme kompiliert.

„Im Jahr 2024 identifizierte Volexity eine Cyber-Spionagekampagne, die von einem verdächtigen, in Pakistan ansässigen Bedrohungsakteur durchgeführt wurde, den Volexity derzeit unter dem Alias UTA0137 verfolgt“, erklärt Volexity in einem Blogbeitrag.

„Volexity schätzt mit hoher Zuversicht, dass UTA0137 spionagebezogene Ziele hat und die Aufgabe, Regierungsstellen in Indien ins Visier zu nehmen. Basierend auf Volexitys Analyse scheinen die Kampagnen von UTA0137 erfolgreich gewesen zu sein.“

DISGOMOJI ist eine modifizierte Version des öffentlichen Projekts Discord-C2, das den Messaging-Dienst Discord für Kommando- und Kontrolloperationen (C2) nutzt und Emojis für die C2-Kommunikation verwendet.

Die Malware zielt ausschließlich auf Linux-Systeme ab, insbesondere auf Regierungsstellen in Indien, die eine benutzerdefinierte Linux-Distribution namens BOSS als ihren täglichen Desktop verwenden.

Diese Malware ist dasselbe „All-in-One“-Spionagewerkzeug, auf das Blackberry in einem Blogbeitrag im Mai 2024 verwies, das von der Transparent Tribe-Gruppe, einer in Pakistan ansässigen Bedrohungsgruppe, verwendet wurde, um die indische Regierung, das Verteidigungs- und den Luftfahrtsektor ins Visier zu nehmen.

Volexity entdeckte auch, dass UTA0137 DirtyPipe (CVE-2022-0847) Privilegienausnutzungen gegen anfällige „BOSS 9“-Systeme einsetzte.

Die Infektionskette begann mit einem UPX-gepackten ELF, der in Golang geschrieben und in einer ZIP-Datei geliefert wurde. Dieses ELF lud eine harmlose Lockdatei, DSOP.pdf, herunter, die für den Provident Fund der indischen Verteidigungsdienstoffiziere steht, um das Opfer zu täuschen.

Die Malware lädt dann die nächste Payload, genannt vmcoreinfo, von einem Remote-Server, clawsindia[.]in., herunter, die in einem versteckten Ordner namens .x86_64-linux-gnu auf dem System des Benutzers abgelegt wird.

Sobald DISGOMOJI gestartet ist, sendet es eine Check-in-Nachricht im Kanal, die die Informationen des Opfers enthält, wie die interne IP, den Benutzernamen, den Hostnamen, das Betriebssystem und das aktuelle Arbeitsverzeichnis. Es bleibt persistent und kann Systemneustarts überstehen.

DISGOMOJI erhält die Persistenz auf dem System durch Cron-Jobs und kann Systemneustarts überstehen.

Zusätzlich werden im Hintergrund weitere Payloads heruntergeladen, einschließlich der DISGOMOJI-Malware und eines Skripts namens uevent_seqnum.sh, das verwendet wird, um zu überprüfen, ob USB-Geräte angeschlossen sind, und, falls ja, Daten von ihnen zu stehlen, damit der Angreifer sie später abrufen kann.

„DISGOMOJI hört auf neue Nachrichten im Befehlskanal auf dem Discord-Server. Die C2-Kommunikation erfolgt über ein emoji-basiertes Protokoll, bei dem der Angreifer Befehle an die Malware sendet, indem er Emojis an den Befehlskanal sendet, wobei zusätzliche Parameter dem Emoji folgen, wo dies zutrifft“, fuhr Volexity fort.

Während DISGOMOJI einen Befehl verarbeitet, reagiert es mit einem „Uhr“-Emoji in der Befehlsnachricht, um dem Angreifer mitzuteilen, dass der Befehl verarbeitet wird.

Sobald der Befehl vollständig verarbeitet ist, wird die „Uhr“-Emoji-Reaktion entfernt und DISGOMOJI fügt ein „Häkchen“-Emoji als Reaktion auf die Befehlsnachricht hinzu, um zu bestätigen, dass der Befehl ausgeführt wurde.“

Neun verschiedene Emoji-Befehle stehen dem Angreifer zur Verfügung, die auf einem infizierten Gerät ausgeführt werden können:

Volexitys Analyse ergab, dass UTA0137 auch legitime und Open-Source-Tools nach der Infektion verwendet hat, darunter Netzwerkscanning mit Nmap, Netzwerk-Tunneling mit Chisel und Ligolo sowie Stage-Tooling und Datenexfiltration mit Dateifreigabediensten wie oshi[.]at.

Eine weitere Post-Exploitation-Aktivität ist die Verwendung des Zenity-Tools durch UTA0137, um bösartige Dialogfelder anzuzeigen und Benutzer sozial zu manipulieren, um ihre Passwörter preiszugeben.

„Der Angreifer hat es erfolgreich geschafft, eine Reihe von Opfern mit seiner Golang-Malware, DISGOMOJI, zu infizieren. UTA0137 hat DISGOMOJI im Laufe der Zeit verbessert“, sagte die Cybersicherheitsfirma.

Volexity fügt hinzu, dass DISGOMOJI Exfiltrationsfähigkeiten hat, die ein Spionagemotiv unterstützen, einschließlich praktischer Befehle zum Stehlen von Benutzerdaten im Browser und Dokumenten sowie zur Datenexfiltration.

Es wird auch diese bösartige Aktivität einem in Pakistan ansässigen Bedrohungsakteur „mit moderater Zuversicht“ aufgrund von Zielmustern und hardcodierten Artefakten zugeschrieben, die insbesondere indische Regierungsstellen ins Visier nehmen.