DISGOMOJI-Malware
Eine Cyberspionagekampagne, die sich 2024 gegen indische Regierungsstellen richtete, wird einem mutmaßlichen Bedrohungsakteur mit Sitz in Pakistan zugeschrieben. Sicherheitsexperten überwachen diese Kampagne mit der Bezeichnung UTA0137, die eine einzigartige Malware namens DISGOMOJI verwendet. Diese in Golang geschriebene Malware zielt speziell auf Linux-Systeme ab.
Inhaltsverzeichnis
DISGOMOJI nutzt die legitime Discord-Plattform aus
DISGOMOJI ist eine angepasste Iteration des öffentlichen Discord-C2-Projekts, das den Discord-Messaging-Dienst für Command-and-Control (C2)-Operationen nutzt und Emojis zur Kommunikation integriert.
Interessanterweise handelt es sich bei DISGOMOJI um dasselbe umfassende Spionagetool, das zuvor von Cybersicherheitsforschern bei einer Infrastrukturanalyse im Zusammenhang mit einem Angriff identifiziert wurde, der dem Akteur Transparent Tribe zugeschrieben wird, einer mit Pakistan verbundenen Hackergruppe.
Die DISGOMOJI-Malware wird über Discord-Emojis gesteuert
Der Angriff beginnt mit Spear-Phishing-E-Mails, die eine Golang ELF-Binärdatei enthalten, die in einem ZIP-Archiv eingeschlossen ist. Bei der Ausführung holt die Binärdatei ein harmloses Täuschungsdokument ab, während sie diskret die DISGOMOJI-Nutzlast von einem Remote-Server herunterlädt.
DISGOMOJI, eine angepasste Version von Discord-C2, ist darauf ausgelegt, Hostdaten zu sammeln und Befehle von einem vom Angreifer kontrollierten Discord-Server auszuführen. Es verwendet eine einzigartige Methode zum Senden und Interpretieren von Befehlen über verschiedene Emojis:
✅ - Zeigt die Ausführung eines Befehls an
💀 - Beendet den Malware-Prozess auf dem Gerät des Opfers
🏃♂️ - Führt einen Befehl auf dem Gerät des Opfers aus
📸 - Macht einen Screenshot vom Bildschirm des Opfers
👇 - Lädt eine Datei vom Gerät des Opfers auf den Kanal hoch
☝️ - Lädt eine Datei auf das Gerät des Opfers herunter
👈 - Lädt eine Datei vom Gerät des Opfers auf transfer[.]sh hoch
👉 - Lädt eine auf oshi[.]at gehostete Datei auf das Gerät des Opfers herunter
🦊 - Sammelt Mozilla Firefox-Profile auf dem Gerät des Opfers in einem ZIP-Archiv
🕐 - Informiert den Angreifer, dass der Befehl verarbeitet wird
🔥 - Sucht und exfiltriert Dateien mit bestimmten Erweiterungen: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS und ZIP
Die Schadsoftware richtet für jedes Opfer einen separaten Kanal auf dem Discord-Server ein, sodass der Angreifer über diese Kanäle mit jedem Opfer einzeln interagieren kann.
Verschiedene Versionen des DISGOMOJI weisen unterschiedliche Fähigkeiten auf
Forscher haben verschiedene Iterationen von DISGOMOJI entdeckt, die mit erweiterten Funktionen ausgestattet sind. Dazu gehören die Fähigkeit, Persistenz herzustellen, die gleichzeitige Ausführung doppelter DISGOMOJI-Prozesse zu verhindern, Anmeldeinformationen für die Discord-Serververbindung zur Laufzeit dynamisch abzurufen und Analysen durch die Anzeige irreführender Informations- und Fehlermeldungen zu verschleiern.
Darüber hinaus wurde beobachtet, dass der Bedrohungsakteur UTA0137 legitime und Open-Source-Tools wie Nmap, Chisel und Ligolo für Netzwerkscans und Tunneling-Zwecke nutzt. Eine aktuelle Kampagne nutzte die DirtyPipe-Sicherheitslücke (CVE-2022-0847), um eine Rechteausweitung auf Linux-Hosts zu erreichen. Eine weitere Taktik nach der Ausnutzung besteht darin, das Dienstprogramm Zenity zu verwenden, um ein betrügerisches Dialogfeld anzuzeigen, das sich als Firefox-Update ausgibt und darauf abzielt, Benutzer zu täuschen und sie dazu zu bringen, ihre Passwörter preiszugeben.
