Logiciel malveillant DISGOMOJI
Une campagne de cyberespionnage visant des entités gouvernementales indiennes en 2024 a été attribuée à un acteur malveillant présumé basé au Pakistan. Des experts en sécurité surveillent cette campagne, identifiée comme UTA0137, qui utilise un malware unique nommé DISGOMOJI. Ce malware, écrit en Golang, cible spécifiquement les systèmes Linux.
Table des matières
DISGOMOJI exploite la plateforme légitime de discorde
DISGOMOJI est une itération personnalisée du projet public Discord-C2, utilisant le service de messagerie Discord pour les opérations de commande et de contrôle (C2), avec des emojis intégrés pour la communication.
Il est intéressant de noter que DISGOMOJI est le même outil d'espionnage complet identifié précédemment par des chercheurs en cybersécurité lors d'une analyse d'infrastructure liée à une attaque attribuée à l'acteur Transparent Tribe, un groupe de hackers lié au Pakistan.
Le logiciel malveillant DISGOMOJI est contrôlé via Discord Emojis
L'attaque commence par des e-mails de spear phishing contenant un binaire Golang ELF enfermé dans une archive ZIP. Lors de l'exécution, le binaire récupère un document leurre inoffensif tout en téléchargeant discrètement la charge utile DISGOMOJI depuis un serveur distant.
DISGOMOJI, une version personnalisée de Discord-C2, est conçue pour collecter des données hôte et exécuter des commandes à partir d'un serveur Discord contrôlé par l'attaquant. Il s'agit d'une méthode unique d'envoi et d'interprétation de commandes via divers emojis :
✅ - Indique l'achèvement d'une commande
💀 - Termine le processus malveillant sur l'appareil de la victime
🏃♂️ - Exécute une commande sur l'appareil de la victime
📸 - Prend une capture d'écran de l'écran de la victime
👇 - Télécharge un fichier depuis l'appareil de la victime vers la chaîne
☝️ - Télécharge un fichier sur l'appareil de la victime
👈 - Télécharge un fichier depuis l'appareil de la victime pour le transférer[.]sh
👉 - Télécharge un fichier hébergé sur oshi[.]at sur l'appareil de la victime
🦊 - Rassemble les profils Mozilla Firefox sur l'appareil de la victime dans une archive ZIP
🕐 - Informe l'attaquant que la commande est en cours de traitement
🔥 - Recherche et exfiltre les fichiers avec des extensions spécifiques : CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS et ZIP
Le malware établit un canal distinct sur le serveur Discord pour chaque victime, permettant à l'attaquant d'interagir individuellement avec chaque victime via ces canaux.
Différentes versions de DISGOMOJI équipées montrent des variations de capacités
Les chercheurs ont découvert diverses itérations de DISGOMOJI équipées de fonctionnalités avancées, notamment la capacité d'établir la persistance, d'empêcher l'exécution simultanée de processus DISGOMOJI en double, de récupérer dynamiquement les informations d'identification pour la connexion au serveur Discord au moment de l'exécution et de brouiller l'analyse en présentant des messages d'information et d'erreur trompeurs.
En outre, l'acteur malveillant UTA0137 a été observé en train d'exploiter des outils légitimes et open source tels que Nmap, Chisel et Ligolo à des fins d'analyse du réseau et de tunneling. Une campagne récente a exploité la vulnérabilité DirtyPipe (CVE-2022-0847) pour obtenir une élévation de privilèges sur les hôtes Linux. Une autre tactique post-exploitation consiste à utiliser l'utilitaire Zenity pour afficher une boîte de dialogue frauduleuse se faisant passer pour une mise à jour de Firefox, visant à tromper les utilisateurs pour qu'ils révèlent leurs mots de passe.
