ハッカーがDiscordの絵文字を使用してLinuxマルウェアを操作

サイバーセキュリティ企業Volexityは、2024年にインド政府機関を標的としたサイバー諜報マーケティングキャンペーンを特定しました。これはカスタムLinuxマルウェアを使用しています。

新たに発見されたLinuxマルウェア、DISGOMOJIは、UTA0137という名前のパキスタン拠点の脅威アクターに帰属しています。これはGolangで書かれ、Linuxシステム用にコンパイルされています。

「2024年、Volexityは、現在UTA0137という別名で追跡している疑わしいパキスタン拠点の脅威アクターによるサイバー諜報キャンペーンを特定しました」とVolexityはブログ投稿で説明しています。

「Volexityは、UTA0137が諜報関連の目的を持ち、インドの政府機関を標的にする任務を持っていると高い信頼を持って評価しています。Volexityの分析に基づくと、UTA0137のキャンペーンは成功しているようです。」

DISGOMOJIは、コマンドおよび制御（C2）操作のためにメッセージングサービスDiscordを利用し、C2通信に絵文字を使用する公開プロジェクトDiscord-C2の改良版です。

このマルウェアは、特にインドの政府機関を標的とし、日常のデスクトップとしてBOSSというカスタムLinuxディストリビューションを使用しているLinuxシステムのみを対象としています。

このマルウェアは、インド政府、国防、航空宇宙部門を標的とするパキスタン拠点の脅威グループであるTransparent Tribeアクターによって使用された「オールインワン」諜報ツールで、Blackberryが2024年5月のブログ投稿で言及したものと同じです。

Volexityはまた、UTA0137が脆弱な「BOSS 9」システムに対してDirtyPipe（CVE-2022-0847）特権昇格の脆弱性を利用したことを発見しました。

感染チェーンは、Golangで書かれたUPXパックされたELFから始まり、ZIPファイル内で配布されました。このELFは、被害者を欺くためにインドの防衛サービス職員積立金の略語であるDSOP.pdfという無害な誘導ファイルをダウンロードしました。

その後、マルウェアはリモートサーバーclawsindia[.]inから次のステージのペイロードであるvmcoreinfoをダウンロードし、ユーザーのシステム上の隠しフォルダー.x86_64-linux-gnuにドロップします。

DISGOMOJIが起動すると、被害者の情報（内部IP、ユーザー名、ホスト名、オペレーティングシステム、現在の作業ディレクトリなど）を含むチェックインメッセージをチャンネルに送信します。これは持続性を維持し、システムの再起動を生き延びることができます。

DISGOMOJIはcronジョブを使用してシステム上での持続性を保持し、システムの再起動を生き延びることができます。

ただし、DISGOMOJIマルウェアや、USBデバイスが接続されているかどうかを確認し、接続されている場合はデータを盗むために使用されるuevent_seqnum.shというスクリプトなど、追加のペイロードがバックグラウンドでダウンロードされます。

「DISGOMOJIはDiscordサーバーのコマンドチャンネルで新しいメッセージを待ち受けています。C2通信は、攻撃者がコマンドチャンネルに絵文字を送信することでマルウェアにコマンドを送信する絵文字ベースのプロトコルを使用して行われます。必要に応じて、絵文字の後に追加のパラメータが続きます」とVolexityは続けました。

DISGOMOJIがコマンドを処理している間、攻撃者にコマンドが処理中であることを知らせるために、コマンドメッセージに「時計」絵文字で反応します。

コマンドが完全に処理されると、「時計」絵文字の反応が削除され、DISGOMOJIはコマンドメッセージに「チェックマークボタン」絵文字を追加してコマンドが実行されたことを確認します。

感染したデバイスで実行できる攻撃者向けの9つの異なる絵文字コマンドがあります：

Volexityの分析によると、UTA0137は感染後にNmapによるネットワークスキャン、ChiselおよびLigoloによるネットワークトンネリング、oshi[.]atのようなファイル共有サービスを使用してデータを抽出するためのステージツールを含む正当なオープンソースツールを使用していることが明らかになりました。

別のポストエクスプロイト活動は、UTA0137が悪意のあるダイアログボックスを表示し、ユーザーにパスワードを放棄させるためにZenityユーティリティを使用していることです。

「攻撃者は、GolangマルウェアDISGOMOJIで多くの被害者を感染させることに成功しました。UTA0137はDISGOMOJIを時間とともに改善しています」とサイバーセキュリティ企業は述べています。

Volexityは、DISGOMOJIがユーザーのブラウザデータや文書を盗む便利なコマンドを含む諜報目的をサポートする抽出機能を持っていると付け加えています。また、特にインドの政府機関を標的としたターゲティングパターンやハードコーディングされたアーティファクトに基づいて、「中程度の信頼性」でこの悪意のある活動をパキスタン拠点の脅威アクターに帰属させています。