Хакеры используют эмодзи Discord для управления вредоносным ПО на Linux

Компания по кибербезопасности Volexity недавно выявила маркетинговую кампанию кибершпионажа, нацеленную на государственные учреждения Индии в 2024 году с использованием пользовательского вредоносного ПО для Linux.

Недавно обнаруженное вредоносное ПО для Linux, DISGOMOJI, было приписано угрозе, базирующейся в Пакистане, известной как UTA0137. Оно написано на Golang и скомпилировано для систем Linux.

“В 2024 году Volexity выявила кампанию кибершпионажа, проводимую предполагаемым угрозой, базирующейся в Пакистане, которую Volexity в настоящее время отслеживает под псевдонимом UTA0137,” объясняет Volexity в блоге.

“Volexity с высокой уверенностью оценивает, что UTA0137 имеет цели, связанные со шпионажем, и намерение нацеливаться на государственные учреждения в Индии. На основе анализа Volexity кампании UTA0137, похоже, были успешными.”

DISGOMOJI — это модифицированная версия публичного проекта Discord-C2, который использует мессенджер Discord для операций командования и управления (C2), используя эмодзи для своей C2-коммуникации.

Вредоносное ПО нацелено только на системы Linux, в частности на государственные учреждения в Индии, которые используют пользовательское дистрибутив Linux под названием BOSS в качестве своего рабочего стола.

Это вредоносное ПО является тем же “все-в-одном” инструментом шпионажа, на который ссылалась Blackberry в блоге в мае 2024 года, используемом актором Transparent Tribe, пакистанской угрозой, для нацеливания на индийское правительство, оборонный и аэрокосмический сектора.

Volexity также обнаружила, что UTA0137 использовала эксплойты повышения привилегий DirtyPipe (CVE-2022-0847) против уязвимых систем “BOSS 9”.

Цепочка заражения началась с ELF, упакованного с помощью UPX, написанного на Golang и доставленного в ZIP-файле. Этот ELF загрузил безвредный файл-ловушку, DSOP.pdf, что является аббревиатурой для Индийского фонда пенсионного обеспечения офицеров обороны, чтобы обмануть жертву.

Затем вредоносное ПО загружает следующий этап полезной нагрузки, названный vmcoreinfo, с удаленного сервера clawsindia[.]in., который помещается в скрытую папку под названием .x86_64-linux-gnu на системе пользователя.

После запуска DISGOMOJI отправляет сообщение о регистрации в канале, содержащем информацию о жертве, такую как внутренний IP, имя пользователя, имя хоста, операционная система и текущий рабочий каталог. Оно поддерживает постоянство и может пережить перезагрузки системы.

DISGOMOJI сохраняет постоянство в системе с помощью cron-заданий и может пережить перезагрузки системы.

Однако дополнительные полезные нагрузки будут загружены в фоновом режиме, включая вредоносное ПО DISGOMOJI и скрипт под названием uevent_seqnum.sh, который используется для проверки наличия подключенных USB-устройств и, если таковые имеются, для кражи данных с них, чтобы злоумышленник мог получить их позже.

“DISGOMOJI слушает новые сообщения в командном канале на сервере Discord. C2-коммуникация происходит с использованием протокола на основе эмодзи, где злоумышленник отправляет команды вредоносному ПО, отправляя эмодзи в командный канал, с дополнительными параметрами, следуя за эмодзи, где это применимо,” продолжила Volexity.

В то время как DISGOMOJI обрабатывает команду, оно реагирует на сообщение команды с помощью эмодзи “Часы”, чтобы сообщить злоумышленнику, что команда обрабатывается.

Как только команда полностью обработана, реакция с эмодзи “Часы” удаляется, и DISGOMOJI добавляет реакцию с эмодзи “Кнопка с галочкой” к сообщению команды, чтобы подтвердить, что команда была выполнена.”

Девять различных команд эмодзи доступны злоумышленнику, которые могут быть выполнены на зараженном устройстве:

Анализ Volexity показал, что UTA0137 также использовала легитимные и открытые инструменты после заражения, включая сканирование сети с помощью Nmap, туннелирование сети с помощью Chisel и Ligolo, а также инструменты для этапа и эксфильтрации данных с использованием сервисов обмена файлами, таких как oshi[.]at.

Еще одной деятельностью после эксплуатации является использование утилиты Zenity UTA0137 для отображения вредоносных диалоговых окон и социальной инженерии пользователей для получения их паролей.

“Злоумышленник успешно заразил ряд жертв своим вредоносным ПО на Golang, DISGOMOJI. UTA0137 со временем улучшила DISGOMOJI,” сказала компания по кибербезопасности.

Volexity добавляет, что DISGOMOJI имеет возможности эксфильтрации, поддерживающие шпионские мотивы, включая удобные команды для кражи данных браузера пользователей и документов, а также для эксфильтрации данных.

Она также приписывает эту вредоносную деятельность угрозе, базирующейся в Пакистане, “с умеренной уверенностью” на основе паттернов нацеливания и закодированных артефактов, в частности нацеливаясь на государственные учреждения Индии.