fitA
一种新发现的名为“DISGOMOJI”的 Linux 恶意软件利用表情符号在受感染设备上执行命令的新颖方法来攻击印度政府机构。
该恶意软件是由网络安全公司 Volexity 发现的,该公司认为该恶意软件与巴基斯坦的一个名为“UTA0137”的威胁行为者有关。
Volexity 解释道:“2024 年,Volexity 发现了一场网络间谍活动,该活动由一名可疑的巴基斯坦威胁行为者发起,目前 Volexity 正在以别名 UTA0137 进行追踪。”
研究人员继续说道:“Volexity 高度确信 UTA0137 具有间谍相关目标,并且有针对印度政府实体的职权范围。根据 Volexity 的分析,UTA0137 的活动似乎已经成功。”
该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似,允许威胁行为者执行命令、截取屏幕截图、窃取文件、部署额外的有效负载和搜索文件。
然而,它使用 Discord 和表情符号作为命令和控制 (C2) 平台,使得该恶意软件在其他恶意软件中脱颖而出,并可能使其绕过寻找基于文本命令的安全软件。
作为 C2 的 Discord 和表情符号
据 Volexity 称,研究人员在 ZIP 存档中发现了 UPX 打包的 ELF 可执行文件后发现了该恶意软件,该可执行文件可能通过网络钓鱼电子邮件分发。 Volexity 认为该恶意软件针对的是印度政府机构用作桌面的名为 BOSS 的自定义 Linux 发行版。
执行时,该恶意软件将下载并显示 PDF 诱饵,该诱饵是印度国防军军官公积金受益人表格,以防军官死亡。
然而,额外的有效负载将在后台下载,包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本,该脚本用于搜索 USB 驱动器并从中窃取数据。
当 DISGOMOJI 启动时,恶意软件将从计算机中窃取系统信息,包括 IP 地址、用户名、主机名、操作系统和当前工作目录,并将这些信息发送回攻击者。
为了控制恶意软件,威胁行为者利用开源命令和控制项目 Discord-c2,该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。
该恶意软件将连接到攻击者控制的 Discord 服务器,并等待威胁参与者在通道中输入表情符号。
“DISGOMOJI 监听 Discord 服务器上命令通道中的新消息。C2 通信使用基于表情符号的协议进行,攻击者通过将表情符号发送到命令通道来向恶意软件发送命令,并在适用的情况下在表情符号后面添加附加参数。当 DISGOMOJI 正在处理命令时,它会在命令消息中对“时钟”表情符号做出反应,让攻击者知道该命令正在处理中。一旦命令被完全处理,“时钟”表情符号反应就会被删除,并且 DISGOMOJI 会添加一个“”。检查标记按钮”表情符号作为对命令消息的反应,以确认命令已执行。” ❖ 波动性
九个表情符号用于表示在受感染设备上执行的命令,如下所列。
该恶意软件通过使用 @reboot cron 命令在启动时执行恶意软件来在 Linux 设备上保持持久性。
Volexity 表示,他们发现了其他版本,这些版本利用了 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制,包括 XDG 自动启动条目。
一旦设备遭到破坏,威胁行为者就会利用其访问权限进行横向传播、窃取数据,并尝试从目标用户那里窃取其他凭据。
虽然表情符号对于恶意软件来说似乎是一种“可爱”的新奇事物,但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件的检测,这使得这是一种有趣的方法。
