We use cookies to ensure that we give you the best experience on our website.

ハッカーは Discord の絵文字を使用して Linux マルウェアを指令している

サイバーセキュリティ企業 Volexity は最近、カスタム Linux マルウェアを使用した 2024 年のインド政府機関をターゲットとしたサイバースパイマーケティングキャンペーンを特定しました。

新たに発見された Linux マルウェア DISGOMOJI は、UTA0137 として知られるパキスタンを拠点とする攻撃者によるものであると考えられています。 Golang で書かれ、Linux システム用にコンパイルされています。

「2024年、Volexityはパキスタンを拠点とする攻撃者と思われる人物が実施したサイバースパイ活動を特定し、現在VolexityはUTA0137という別名で追跡している。」説明するブログ投稿のボリューム。

「Volexity は、UTA0137 にはスパイ活動関連の目的があり、インドの政府機関を標的にする権限があると高い確信を持って評価しています。 Volexity の分析によると、UTA0137 のキャンペーンは成功したようです。」

DISGOMOJI は公開プロジェクト Discord-C2 の修正バージョンで、コマンド アンド コントロール (C2) 操作にメッセージング サービス Discord を利用し、C2 コミュニケーションに絵文字を使用します。

このマルウェアは、Linux システム、特に、という名前のカスタム Linux ディストリビューションを使用するインドの政府機関のみをターゲットにしています。ボス毎日のデスクトップとして。

このマルウェアは、Blackberry が2024 年 5 月のブログ投稿これは、インド政府、防衛、航空宇宙部門を標的とするパキスタンを拠点とする脅威グループであるトランスペアレント・トライブ・アクターによって使用されます。

Volexity はまた、UTA0137 が脆弱な「BOSS 9」システムに対して DirtyPipe (CVE-2022-0847) 権限昇格エクスプロイトを使用していたことも明らかにしました。

感染チェーンは、Golang で記述され、ZIP ファイル内で配信された UPX パックされた ELF から始まりました。この ELF は、被害者を騙すために、無害なルアー ファイル DSOP.pdf をダウンロードしました。DSOP.pdf は、インド国防軍官積立基金の頭字語です。

次に、マルウェアは vmcoreinfo という名前の次段階のペイロードをリモート サーバー clawsindia[.]in. からダウンロードし、ユーザーのシステム上の .x86_64-linux-gnu という名前の隠しフォルダーにドロップされます。

DISGOMOJI が開始されると、内部 IP、ユーザー名、ホスト名、オペレーティング システム、現在の作業ディレクトリなどの被害者の情報を含むチェックイン メッセージがチャネルに送信されます。永続性が維持され、システムの再起動後も存続できます。

DISGOMOJI は cron ジョブを使用してシステム上の永続性を保持し、システムの再起動後も存続できます。

ただし、DISGOMOJI マルウェアや、USB デバイスが接続されているかどうかを確認し、接続されている場合はそこからデータを盗み、攻撃者が後で取得できるようにするために使用される uevent_seqnum.sh という名前のスクリプトなど、追加のペイロードがバックグラウンドでダウンロードされます。

「DISGOMOJI は、Discord サーバー上のコマンド チャネルで新しいメッセージをリッスンします。 C2通信は絵文字ベースのプロトコルを使用して行われ、攻撃者は絵文字をコマンドチャネルに送信することでマルウェアにコマンドを送信し、該当する場合は絵文字の後に追加パラメータを付けます」とVolexityは続けた。

DISGOMOJI はコマンドの処理中、コマンド メッセージ内の「時計」絵文字に反応して、コマンドが処理されていることを攻撃者に知らせます。

コマンドが完全に処理されると、「時計」絵文字リアクションが削除され、DISGOMOJI はコマンド メッセージへのリアクションとして「チェック マーク ボタン」絵文字を追加して、コマンドが実行されたことを確認します。」

感染したデバイス上で攻撃者が実行できる 9 つの異なる絵文字コマンドが利用可能です。

Volexity の分析により、UTA0137 は感染後も正規のオープンソース ツールを使用していることが明らかになりました。これには、Nmap によるネットワーク スキャン、Chisel および Ligolo によるネットワーク トンネリング、oshi[.]at などのファイル共有サービスを使用したステージング ツールやデータの抽出が含まれます。 。

悪用後のもう 1 つのアクティビティは、UTA0137 が Zenity ユーティリティを使用して悪意のあるダイアログ ボックスを表示し、ソーシャル エンジニアリングでユーザーにパスワードを放棄させることです。

「攻撃者は、Golang マルウェア DISGOMOJI を多数の被害者に感染させることに成功しました。 UTA0137 は時間の経過とともに DISGOMOJI を改善してきました」とサイバーセキュリティ会社は述べています。

Volexity は、DISGOMOJI には、ユーザーのブラウザ データやドキュメントを盗んだり、データを抜き出すための便利なコマンドなど、スパイ活動の動機をサポートする抜き取り機能があると付け加えています。

また、標的パターンとハードコーディングされたアーティファクトに基づいて、この悪意のある活動は「ある程度の確信を持って」パキスタンを拠点とする攻撃者によるものであり、特にインド政府機関を標的にしていると考えています。

Also Read