一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法,利用表情符号在受感染设备上执行命令,以攻击印度政府机构。
该恶意软件是由网络安全公司 Volexity 发现的,该公司认为它与代号为“UTA0137”的巴基斯坦黑客组织有关。
“2024 年,Volexity 发现了一个疑似巴基斯坦威攻击者开展的网络间谍活动,Volexity 目前以别名 UTA0137 进行追踪。”Volexity 解释道。
“Volexity 高度确信 UTA0137 具有间谍相关目的,其职责是针对印度政府实体。根据 Volexity 的分析,UTA0137 的活动似乎取得了成功。”研究人员继续说道。
该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似,允许攻击者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。
攻击者使用 Discord 和表情符号作为命令和控制 (C2) 工具,这使得该恶意软件可以让它绕过基于文本进行检测的安全软件。
Discord 和表情符号作为 C2
据 Volexity 称,研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件,该可执行文件很可能是通过钓鱼邮件传播的,之后研究人员发现了该恶意软件。Volexity 认为,该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。
执行后,恶意软件将下载并显示一个 PDF 诱饵,该诱饵是印度国防军官公积金的受益人表格,以防军官死亡。
诱饵文档的一部分
额外的有效载荷将在后台下载,包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本,用于搜索 USB 驱动器并从中窃取数据。
当 DISGOMOJI 启动时,恶意软件将从机器中窃取系统信息,包括 IP 地址、用户名、主机名、操作系统和当前工作目录,并将这些信息发送回攻击者。
为了控制恶意软件,攻击者利用开源命令和控制项目discord-c2,该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。
该恶意软件将连接到攻击者控制的 Discord 服务器并等待攻击者在频道中输入表情符号。
当 DISGOMOJI 正在处理命令时,它会在命令消息中用“时钟”表情符号做出反应,让攻击者知道命令正在处理中。一旦命令完全处理完毕,“时钟”表情符号反应将被删除,DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应,以确认命令已执行。”
九个表情符号用于表示在受感染设备上执行的命令,如下所示。
该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。
Volexity 表示,他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本,包括XDG 自动启动条目。
一旦设备被攻破,攻击者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证。
虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物,但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件检测,这是一种有趣的方法。
UTA 0137 感染后行为
Volexity 发现 UTA0137 在成功感染后使用的许多第二阶段工具,以及攻击者使用的通用策略、技术和程序 (TTP)。
其中一些总结如下:
- 使用Nmap扫描受害网络
- 使用Chisel和Ligolo进行网络隧道传输
- 大量使用文件共享服务oshi[.]at来准备受感染机器下载的工具并托管窃取的数据
此外,UTA0137 会利用预安装的Zenity实用程序,诱使受害者在攻击者控制的对话框中输入密码。UTA0137 发出了多个命令,在用户系统上弹出一个对话框,伪装成 Firefox 更新:
在最近的一次活动中,Volexity 注意到 UTA0137针对系统部署了DirtyPipe (CVE-2022-0847) 特权提升漏洞。
详细技术报告:https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/vZsnyaizTaWFYKsWhkKxEQ
暂无评论内容