Подозреваемый в угрозах из Пакистана был связан с кампанией кибершпионажа, направленной против государственных структур Индии в 2024 году.
Компания по кибербезопасности Volexity отслеживает активность под псевдонимом UTA0137, отмечая исключительное использование злоумышленником вредоносного ПО под названием DISGOMOJI, написанного на Golang и предназначенного для заражения систем Linux.
"Это модифицированная версия общественного проекта Discord-C2, который использует службу обмена сообщениями Discord для командования и контроля (C2), используя смайлики для общения на C2", - говорится.
Стоит отметить, что DISGOMOJI - это тот же самый инструмент шпионажа "все в одном", который, по словам BlackBerry, он обнаружил в рамках анализа инфраструктуры в связи с атакующей кампанией, организованной the Transparent Tribe actor, хакерской группой Pakistan-nexus.
Цепочки атак начинаются с фишинговых электронных писем, содержащих двоичный файл Golang ELF, доставленный в ZIP-архиве. Затем бинарный файл загружает вредоносный документ-приманку, а также незаметно загружает полезную нагрузку DISGOMOJI с удаленного сервера.
DISGOMOJI, являющийся пользовательским форком Discord-C2, предназначен для сбора информации о хосте и выполнения команд, полученных с сервера Discord, контролируемого злоумышленником. В нем также используется новый подход к отправке и обработке команд с использованием различных смайликов -
Компания заявила, что обнаружила различные варианты DISGOMOJI с возможностями обеспечения сохраняемости, предотвращения одновременного запуска дублирующих процессов DISGOMOJI, динамического получения учетных данных для подключения к серверу Discord во время выполнения, а не их жесткого кодирования, и предотвращения анализа путем отображения поддельной информации и сообщений об ошибках.
UTA0137 также был замечен с использованием законных инструментов с открытым исходным кодом, таких как Nmap, Chisel и Ligolo, соответственно, для сканирования сети и туннелирования, при этом в одной недавней кампании также использовалась уязвимость DirtyPipe (CVE-2022-0847) для повышения привилегий хостов Linux.
Другая тактика после эксплуатации связана с использованием утилиты Zenity для отображения вредоносного диалогового окна, которое маскируется под обновление Firefox, чтобы заставить пользователей отказаться от своих паролей.
"Злоумышленнику успешно удалось заразить ряд жертв своим вредоносным ПО Golang, DISGOMOJI", - сообщили в Volexity. "UTA0137 со временем улучшил DISGOMOJI".
Компания по кибербезопасности Volexity отслеживает активность под псевдонимом UTA0137, отмечая исключительное использование злоумышленником вредоносного ПО под названием DISGOMOJI, написанного на Golang и предназначенного для заражения систем Linux.
"Это модифицированная версия общественного проекта Discord-C2, который использует службу обмена сообщениями Discord для командования и контроля (C2), используя смайлики для общения на C2", - говорится.
Стоит отметить, что DISGOMOJI - это тот же самый инструмент шпионажа "все в одном", который, по словам BlackBerry, он обнаружил в рамках анализа инфраструктуры в связи с атакующей кампанией, организованной the Transparent Tribe actor, хакерской группой Pakistan-nexus.
Цепочки атак начинаются с фишинговых электронных писем, содержащих двоичный файл Golang ELF, доставленный в ZIP-архиве. Затем бинарный файл загружает вредоносный документ-приманку, а также незаметно загружает полезную нагрузку DISGOMOJI с удаленного сервера.
DISGOMOJI, являющийся пользовательским форком Discord-C2, предназначен для сбора информации о хосте и выполнения команд, полученных с сервера Discord, контролируемого злоумышленником. В нем также используется новый подход к отправке и обработке команд с использованием различных смайликов -
- Выполнить команду на устройстве жертвы
- Сделайте снимок экрана жертвы
- Загрузите файл с устройства жертвы на канал
- Загрузите файл с устройства жертвы для передачи [.]sh
- Загрузите файл на устройство жертвы
- Загрузите файл, размещенный на oshi [.]at, на устройство жертвы
- Найдите и отфильтруйте файлы, соответствующие следующим расширениям: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS и ZIP
- Соберите все профили Mozilla Firefox на устройстве жертвы в ZIP-архив
- Завершить вредоносный процесс на устройстве жертвы
- Сообщить злоумышленнику, что команда обрабатывается
- Сообщить злоумышленнику, что команда завершена
Компания заявила, что обнаружила различные варианты DISGOMOJI с возможностями обеспечения сохраняемости, предотвращения одновременного запуска дублирующих процессов DISGOMOJI, динамического получения учетных данных для подключения к серверу Discord во время выполнения, а не их жесткого кодирования, и предотвращения анализа путем отображения поддельной информации и сообщений об ошибках.
UTA0137 также был замечен с использованием законных инструментов с открытым исходным кодом, таких как Nmap, Chisel и Ligolo, соответственно, для сканирования сети и туннелирования, при этом в одной недавней кампании также использовалась уязвимость DirtyPipe (CVE-2022-0847) для повышения привилегий хостов Linux.
Другая тактика после эксплуатации связана с использованием утилиты Zenity для отображения вредоносного диалогового окна, которое маскируется под обновление Firefox, чтобы заставить пользователей отказаться от своих паролей.
"Злоумышленнику успешно удалось заразить ряд жертв своим вредоносным ПО Golang, DISGOMOJI", - сообщили в Volexity. "UTA0137 со временем улучшил DISGOMOJI".
