Um suposto ator de ameaça baseado no Paquistão foi vinculado a uma campanha de espionagem cibernética contra entidades governamentais indianas em 2024.
A empresa de segurança cibernética Volexity está rastreando a atividade sob o apelido UTA0137, observando o uso exclusivo pelo adversário de um malware chamado DISGOMOJI, escrito em Golang e projetado para infectar sistemas Linux.
“É uma versão modificada do projeto público Discord-C2, que utiliza o serviço de mensagens Discord para comando e controle (C2), fazendo uso de emojis para sua comunicação C2”, afirmou.
Vale a pena notar que DISGOMOJI é a mesma ferramenta de espionagem “tudo-em-um” que a BlackBerry disse ter descoberto como parte de uma análise de infraestrutura em conexão com uma campanha de ataque montada pelo ator Clear Tribe, uma equipe de hackers do nexo do Paquistão.
As cadeias de ataque começam com e-mails de spearphishing contendo um binário Golang ELF entregue em um arquivo ZIP. O binário então baixa um documento de isca benigno enquanto também baixa furtivamente a carga DISGOMOJI de um servidor remoto.
Um fork personalizado do Discord-C2, DISGOMOJI foi projetado para capturar informações do host e executar comandos recebidos de um servidor Discord controlado por um invasor. Numa reviravolta interessante, os comandos são enviados na forma de diferentes emojis –
- 🏃♂️ – Execute um comando no dispositivo da vítima
- 📸 – Faça uma captura de tela da tela da vítima
- 👇 – Carregue um arquivo do dispositivo da vítima para o canal
- 👈 – Carregue um arquivo do dispositivo da vítima para transferir(.)sh
- ☝️ – Baixe um arquivo para o dispositivo da vítima
- 👉 – Baixe um arquivo hospedado em oshi(.)at para o dispositivo da vítima
- 🔥 – Encontre e exfiltre arquivos que correspondam às seguintes extensões: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS e ZIP
- 🦊 – Reúna todos os perfis do Mozilla Firefox no dispositivo da vítima em um arquivo ZIP
- 💀 – Encerre o processo de malware no dispositivo da vítima
“O malware cria um canal dedicado para si no servidor Discord, o que significa que cada canal no servidor representa uma vítima particular person”, disse Volexity. “O invasor pode então interagir com cada vítima individualmente usando esses canais”.
A empresa disse que descobriu diferentes variações do DISGOMOJI com recursos para estabelecer persistência, evitar que processos duplicados do DISGOMOJI sejam executados ao mesmo tempo, buscar dinamicamente as credenciais para conectar-se ao servidor Discord em tempo de execução, em vez de codificá-los, e impedir a análise exibindo informações falsas. mensagens informativas e de erro.
UTA0137 também foi observado usando ferramentas legítimas e de código aberto como Nmap, Chisel e Ligolo para fins de varredura de rede e tunelamento, respectivamente, com uma campanha recente também explorando a falha DirtyPipe (CVE-2022-0847) para obter escalonamento de privilégios contra Linux anfitriões.
Outra tática pós-exploração diz respeito ao uso do utilitário Zenity para exibir uma caixa de diálogo maliciosa que se disfarça como uma atualização do Firefox, a fim de incentivar socialmente os usuários a desistirem de suas senhas.
“O invasor conseguiu infectar várias vítimas com seu malware Golang, DISGOMOJI”, disse Volexity. “UTA0137 melhorou o DISGOMOJI ao longo do tempo.”
