Gli hacker stanno usando le emoji di Discord per comandare malware Linux

La società di cybersecurity Volexity ha recentemente identificato una campagna di marketing di cyber spionaggio che prende di mira le agenzie governative indiane nel 2024 utilizzando un malware Linux personalizzato.

Il nuovo malware Linux scoperto, DISGOMOJI, è stato attribuito a un attore di minaccia con sede in Pakistan noto come UTA0137. È scritto in Golang e compilato per sistemi Linux.

“Nel 2024, Volexity ha identificato una campagna di cyber spionaggio intrapresa da un sospetto attore di minaccia con sede in Pakistan che Volexity attualmente traccia sotto l’alias UTA0137,” spiega Volexity in un post sul blog.

“Volexity valuta con alta fiducia che UTA0137 ha obiettivi legati allo spionaggio e un mandato per prendere di mira entità governative in India. Sulla base dell’analisi di Volexity, le campagne di UTA0137 sembrano essere state di successo.”

DISGOMOJI è una versione modificata del progetto pubblico Discord-C2, che utilizza il servizio di messaggistica Discord per operazioni di comando e controllo (C2), facendo uso di emoji per la sua comunicazione C2.

Il malware prende di mira solo i sistemi Linux, specificamente le entità governative in India, che utilizzano una distribuzione Linux personalizzata chiamata BOSS come desktop quotidiano.

Questo malware è lo stesso strumento di spionaggio “tutto in uno” a cui Blackberry ha fatto riferimento in un post sul blog di maggio 2024 utilizzato dall’attore Transparent Tribe, un gruppo di minaccia con sede in Pakistan per prendere di mira il governo indiano, i settori della Difesa e dell’Aerospazio.

Volexity ha anche scoperto che UTA0137 ha utilizzato exploit di escalation dei privilegi DirtyPipe (CVE-2022-0847) contro i sistemi vulnerabili “BOSS 9”.

La catena di infezione è iniziata con un ELF impacchettato in UPX scritto in Golang e consegnato all’interno di un file ZIP. Questo ELF ha scaricato un file di esca benigno, DSOP.pdf, che è l’acronimo per il Fondo di Previdenza per gli Ufficiali del Servizio di Difesa dell’India, per ingannare la vittima.

Il malware scarica quindi il payload di fase successiva, chiamato vmcoreinfo, da un server remoto, clawsindia[.]in., che viene posizionato in una cartella nascosta chiamata .x86_64-linux-gnu sul sistema dell’utente.

Una volta avviato, DISGOMOJI invia un messaggio di check-in nel canale contenente le informazioni della vittima, come l’IP interno, il nome utente, il nome host, il sistema operativo e la directory di lavoro corrente. Mantiene la persistenza e può sopravvivere ai riavvii del sistema.

DISGOMOJI preserva la persistenza sul sistema utilizzando cron job e può sopravvivere ai riavvii del sistema.

Tuttavia, payload aggiuntivi verranno scaricati in background, incluso il malware DISGOMOJI e uno script chiamato uevent_seqnum.sh che viene utilizzato per controllare se sono collegati dispositivi USB e, in tal caso, rubare dati da essi in modo che l’attaccante possa recuperarli in seguito.

“DISGOMOJI ascolta nuovi messaggi nel canale di comando sul server Discord. La comunicazione C2 avviene utilizzando un protocollo basato su emoji in cui l’attaccante invia comandi al malware inviando emoji al canale di comando, con parametri aggiuntivi che seguono l’emoji dove applicabile,” ha continuato Volexity.

Mentre DISGOMOJI sta elaborando un comando, reagisce con un’emoji “Orologio” nel messaggio di comando per far sapere all’attaccante che il comando è in fase di elaborazione.

Una volta che il comando è completamente elaborato, la reazione dell’emoji “Orologio” viene rimossa e DISGOMOJI aggiunge un’emoji “Pulsante di Spunta” come reazione al messaggio di comando per confermare che il comando è stato eseguito.”

Nove diversi comandi emoji sono disponibili per l’attaccante che possono essere eseguiti su un dispositivo infetto:

L’analisi di Volexity ha rivelato che UTA0137 ha anche utilizzato strumenti legittimi e open-source dopo l’infezione, che includono la scansione di rete con Nmap, il tunneling di rete con Chisel e Ligolo, e strumenti di fase e l’exfiltrazione di dati utilizzando servizi di condivisione file come oshi[.]at.

Un’altra attività post-sfruttamento è l’uso da parte di UTA0137 dell’utilità Zenity per visualizzare finestre di dialogo dannose e ingannare socialmente gli utenti per farli rinunciare alle loro password.

“L’attaccante è riuscito a infettare con successo un certo numero di vittime con il loro malware Golang, DISGOMOJI. UTA0137 ha migliorato DISGOMOJI nel tempo,” ha dichiarato la società di cybersecurity.

Volexity aggiunge che DISGOMOJI ha capacità di exfiltrazione che supportano un motivo di spionaggio, inclusi comandi convenienti per rubare dati del browser dell’utente e documenti e per exfiltrare dati.

Attribuisce anche questa attività malevola a un attore di minaccia con sede in Pakistan “con moderata fiducia” basata su schemi di targeting e artefatti hardcoded, prendendo di mira in particolare le entità governative indiane.