În 2024, Volexity a identificat o campanie de spionaj cibernetic desfășurată de un actor amenințător, UTA0137, suspectat a fi din Pakistan. Malware-ul folosit, numit DISGOMOJI, este scris în Golang și compilat pentru sistemele Linux. Acesta utilizează Discord pentru comandă și control, comunicând prin emoji-uri. Vizați sunt în principal entitățile guvernamentale din India, utilizând distribuția Linux BOSS. DISGOMOJI se bazează pe proiectul open-source discord-c2 și folosește tehnici avansate pentru a evita detectarea și pentru a exfiltra date sensibile.
Analiza Tehnică
DISGOMOJI începe prin descărcarea unui fișier momeală PDF și apoi a unei încărcături utile de la un server extern. Malware-ul utilizează Discord pentru a comunica cu atacatorul, fiecare victimă fiind reprezentată printr-un canal dedicat. Persistența pe sistem se realizează prin crontab, iar malware-ul poate executa diverse comenzi prin intermediul emoji-urilor, inclusiv capturi de ecran și exfiltrarea de fișiere.
Variante și Îmbunătățiri
Varianta recentă a DISGOMOJI previne rularea instanțelor duplicate și gestionează dinamic credențialele Discord. De asemenea, include șiruri de caractere înșelătoare pentru a deruta analiștii de securitate.
Comportamentul Post-Infectare
UTA0137 utilizează instrumente precum Nmap și Zenity pentru a scana rețelele și pentru a înșela utilizatorii să-și divulge parolele. De asemenea, folosește exploatarea DirtyPipe pentru escaladarea privilegiilor pe sistemele vulnerabile BOSS.
Pentru mai multe detalii, vizitați articolul original.
