本文來自微信公眾號“嘶吼專業(yè)版”,作者/胡金魚。
一種新發(fā)現(xiàn)的Linux惡意軟件被稱為“DISGOMOJI”,它使用一種新穎的方法,利用表情符號在受感染的設備上執(zhí)行命令,并以此攻擊了印度的政府機構。
該惡意軟件是由網(wǎng)絡安全公司Volexity發(fā)現(xiàn)的,該公司認為它與巴基斯坦的威脅行為者“UTA0137”有關。
2024年,Volexity發(fā)現(xiàn)了一個疑似巴基斯坦威脅分子發(fā)起的網(wǎng)絡間諜活動,Volexity目前以別名UTA0137跟蹤該活動。
該惡意軟件與用于不同攻擊的許多其他后門/僵尸網(wǎng)絡類似,允許威脅分子執(zhí)行命令、截取屏幕截圖、竊取文件、部署其他有效負載以及搜索文件。然而,它使用Discord和表情符號作為命令和控制(C2)平臺,這使得該惡意軟件與眾不同,并可能使其繞過尋找基于文本的命令的安全軟件。
Discord和表情符號作為C2
據(jù)Volexity稱,研究人員在ZIP存檔中發(fā)現(xiàn)了一個UPX封裝的ELF可執(zhí)行文件,該可執(zhí)行文件很可能是通過釣魚郵件傳播的,之后研究人員發(fā)現(xiàn)了該惡意軟件。
Volexity認為,該惡意軟件的目標是印度政府機構用作桌面的定制Linux發(fā)行版BOSS。然而,該惡意軟件同樣可以輕易用于攻擊其他Linux發(fā)行版。
惡意軟件運行時會下載并顯示一個PDF誘餌,該誘餌是印度國防軍官公積金的受益人表格,用于軍官死亡時使用。
但是,還會在后臺下載其他有效載荷,包括DISGOMOJI惡意軟件和名為“uevent_seqnum.sh”的shell腳本,用于搜索USB驅(qū)動器并從中竊取數(shù)據(jù)。
當DISGOMOJI啟動時,惡意軟件將從機器中竊取系統(tǒng)信息,包括IP地址、用戶名、主機名、操作系統(tǒng)和當前工作目錄,并將這些信息發(fā)送回攻擊者。
為了控制惡意軟件,威脅者利用開源命令和控制項目discord-c2,該項目使用Discord和表情符號與受感染的設備進行通信并執(zhí)行命令。惡意軟件將連接到攻擊者控制的Discord服務器,并等待威脅者在頻道中輸入表情符號。
DISGOMOJI在Discord服務器上的命令通道中監(jiān)聽新消息。C2通信使用基于表情符號的協(xié)議進行,攻擊者通過向命令通道發(fā)送表情符號向惡意軟件發(fā)送命令,并在表情符號后附加其他參數(shù)(如果適用)。
當DISGOMOJI正在處理命令時,它會在命令消息中用“時鐘”表情符號做出反應,讓攻擊者知道命令正在處理中。命令完全處理后,“時鐘”表情符號反應將被刪除,DISGOMOJI會在命令消息中添加“復選標記按鈕”表情符號作為反應,以確認命令已執(zhí)行。
九個表情符號用于表示在受感染設備上執(zhí)行的命令,如下所示。
該惡意軟件通過使用 reboot cron命令在啟動時執(zhí)行惡意軟件來保持在Linux設備上的持久性。
Volexity表示,他們發(fā)現(xiàn)了其他版本,這些版本利用了DISGOMOJI和USB數(shù)據(jù)竊取腳本的其他持久性機制,包括XDG自動啟動條目。
一旦設備被攻破,威脅者就會利用其訪問權限進行橫向傳播,竊取數(shù)據(jù),并試圖從目標用戶那里竊取更多憑據(jù)。