Les hackers utilisent des emojis Discord pour contrôler des malwares Linux

La société de cybersécurité Volexity a récemment identifié une campagne de marketing d’espionnage cybernétique ciblant les agences gouvernementales indiennes en 2024 utilisant un malware Linux personnalisé.

Le nouveau malware Linux découvert, DISGOMOJI, a été attribué à un acteur de menace basé au Pakistan connu sous le nom de UTA0137. Il est écrit en Golang et compilé pour les systèmes Linux.

“En 2024, Volexity a identifié une campagne d’espionnage cybernétique entreprise par un acteur de menace suspecté basé au Pakistan que Volexity suit actuellement sous le pseudonyme UTA0137,” explique Volexity dans un article de blog.

“Volexity évalue avec une grande confiance qu’UTA0137 a des objectifs liés à l’espionnage et un mandat pour cibler des entités gouvernementales en Inde. D’après l’analyse de Volexity, les campagnes d’UTA0137 semblent avoir été couronnées de succès.”

DISGOMOJI est une version modifiée du projet public Discord-C2, qui utilise le service de messagerie Discord pour des opérations de commande et de contrôle (C2), en utilisant des emojis pour sa communication C2.

Le malware cible uniquement les systèmes Linux, en particulier les entités gouvernementales en Inde, qui utilisent une distribution Linux personnalisée nommée BOSS comme bureau quotidien.

Ce malware est le même outil d’espionnage “tout-en-un” que Blackberry a mentionné dans un article de blog de mai 2024 utilisé par l’acteur Transparent Tribe, un groupe de menaces basé au Pakistan pour cibler le gouvernement indien, les secteurs de la défense et de l’aérospatiale.

Volexity a également découvert qu’UTA0137 utilisait des exploits d’escalade de privilèges DirtyPipe (CVE-2022-0847) contre des systèmes “BOSS 9” vulnérables.

La chaîne d’infection a commencé par un ELF compressé UPX écrit en Golang et livré dans un fichier ZIP. Cet ELF a téléchargé un fichier leurre bénin, DSOP.pdf, qui est l’acronyme pour le Fonds de Prévoyance des Officiers des Services de Défense de l’Inde, pour tromper la victime.

Le malware télécharge ensuite la charge utile de prochaine étape, nommée vmcoreinfo, depuis un serveur distant, clawsindia[.]in., qui est déposée dans un dossier caché nommé .x86_64-linux-gnu sur le système de l’utilisateur.

Une fois lancé, DISGOMOJI envoie un message de pointage dans le canal contenant les informations de la victime, telles que l’IP interne, le nom d’utilisateur, le nom d’hôte, le système d’exploitation et le répertoire de travail actuel. Il maintient la persistance et peut survivre aux redémarrages du système.

DISGOMOJI préserve la persistance sur le système en utilisant des tâches cron et peut survivre aux redémarrages du système.

Cependant, des charges utiles supplémentaires seront téléchargées en arrière-plan, y compris le malware DISGOMOJI et un script nommé uevent_seqnum.sh qui est utilisé pour vérifier si des périphériques USB sont connectés et, le cas échéant, voler des données à partir de ceux-ci afin que l’attaquant puisse les récupérer plus tard.

“DISGOMOJI écoute les nouveaux messages dans le canal de commande sur le serveur Discord. La communication C2 se fait à l’aide d’un protocole basé sur des emojis où l’attaquant envoie des commandes au malware en envoyant des emojis au canal de commande, avec des paramètres supplémentaires suivant l’emoji le cas échéant,” a poursuivi Volexity.

Alors que DISGOMOJI traite une commande, il réagit avec un emoji “Horloge” dans le message de commande pour faire savoir à l’attaquant que la commande est en cours de traitement.

Une fois la commande entièrement traitée, la réaction emoji “Horloge” est supprimée et DISGOMOJI ajoute un emoji “Bouton de Vérification” en réaction au message de commande pour confirmer que la commande a été exécutée.”

Neuf commandes emoji différentes sont disponibles pour l’attaquant qui peuvent être exécutées sur un appareil infecté :

L’analyse de Volexity a révélé qu’UTA0137 a également utilisé des outils légitimes et open-source après l’infection, qui incluent le scan de réseau avec Nmap, le tunneling réseau avec Chisel et Ligolo, et l’outillage de scène et l’exfiltration de données en utilisant des services de partage de fichiers comme oshi[.]at.

Une autre activité post-exploitation est l’utilisation par UTA0137 de l’utilitaire Zenity pour afficher des boîtes de dialogue malveillantes et manipuler socialement les utilisateurs pour qu’ils abandonnent leurs mots de passe.

“L’attaquant a réussi à infecter un certain nombre de victimes avec son malware Golang, DISGOMOJI. UTA0137 a amélioré DISGOMOJI au fil du temps,” a déclaré la société de cybersécurité.

Volexity ajoute que DISGOMOJI a des capacités d’exfiltration soutenant un motif d’espionnage, y compris des commandes pratiques pour voler les données de navigation des utilisateurs et des documents et pour exfiltrer des données.

Elle attribue également cette activité malveillante à un acteur de menace basé au Pakistan “avec une confiance modérée” sur la base des modèles de ciblage et des artefacts codés en dur, ciblant particulièrement les entités gouvernementales indiennes.