信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚。

一種新發(fā)現(xiàn)的Linux惡意軟件被稱為“DISGOMOJI”，它使用一種新穎的方法，利用表情符號(hào)在受感染的設(shè)備上執(zhí)行命令，并以此攻擊了印度的政府機(jī)構(gòu)。

該惡意軟件是由網(wǎng)絡(luò)安全公司Volexity發(fā)現(xiàn)的，該公司認(rèn)為它與巴基斯坦的威脅行為者“UTA0137”有關(guān)。

2024年，Volexity發(fā)現(xiàn)了一個(gè)疑似巴基斯坦威脅分子發(fā)起的網(wǎng)絡(luò)間諜活動(dòng)，Volexity目前以別名UTA0137跟蹤該活動(dòng)。

該惡意軟件與用于不同攻擊的許多其他后門/僵尸網(wǎng)絡(luò)類似，允許威脅分子執(zhí)行命令、截取屏幕截圖、竊取文件、部署其他有效負(fù)載以及搜索文件。然而，它使用Discord和表情符號(hào)作為命令和控制(C2)平臺(tái)，這使得該惡意軟件與眾不同，并可能使其繞過尋找基于文本的命令的安全軟件。

Discord和表情符號(hào)作為C2

據(jù)Volexity稱，研究人員在ZIP存檔中發(fā)現(xiàn)了一個(gè)UPX封裝的ELF可執(zhí)行文件，該可執(zhí)行文件很可能是通過釣魚郵件傳播的，之后研究人員發(fā)現(xiàn)了該惡意軟件。

Volexity認(rèn)為，該惡意軟件的目標(biāo)是印度政府機(jī)構(gòu)用作桌面的定制Linux發(fā)行版BOSS。然而，該惡意軟件同樣可以輕易用于攻擊其他Linux發(fā)行版。

惡意軟件運(yùn)行時(shí)會(huì)下載并顯示一個(gè)PDF誘餌，該誘餌是印度國防軍官公積金的受益人表格，用于軍官死亡時(shí)使用。

但是，還會(huì)在后臺(tái)下載其他有效載荷，包括DISGOMOJI惡意軟件和名為“uevent_seqnum.sh”的shell腳本，用于搜索USB驅(qū)動(dòng)器并從中竊取數(shù)據(jù)。

當(dāng)DISGOMOJI啟動(dòng)時(shí)，惡意軟件將從機(jī)器中竊取系統(tǒng)信息，包括IP地址、用戶名、主機(jī)名、操作系統(tǒng)和當(dāng)前工作目錄，并將這些信息發(fā)送回攻擊者。

為了控制惡意軟件，威脅者利用開源命令和控制項(xiàng)目discord-c2，該項(xiàng)目使用Discord和表情符號(hào)與受感染的設(shè)備進(jìn)行通信并執(zhí)行命令。惡意軟件將連接到攻擊者控制的Discord服務(wù)器，并等待威脅者在頻道中輸入表情符號(hào)。

DISGOMOJI在Discord服務(wù)器上的命令通道中監(jiān)聽新消息。C2通信使用基于表情符號(hào)的協(xié)議進(jìn)行，攻擊者通過向命令通道發(fā)送表情符號(hào)向惡意軟件發(fā)送命令，并在表情符號(hào)后附加其他參數(shù)（如果適用）。

當(dāng)DISGOMOJI正在處理命令時(shí)，它會(huì)在命令消息中用“時(shí)鐘”表情符號(hào)做出反應(yīng)，讓攻擊者知道命令正在處理中。命令完全處理后，“時(shí)鐘”表情符號(hào)反應(yīng)將被刪除，DISGOMOJI會(huì)在命令消息中添加“復(fù)選標(biāo)記按鈕”表情符號(hào)作為反應(yīng)，以確認(rèn)命令已執(zhí)行。

九個(gè)表情符號(hào)用于表示在受感染設(shè)備上執(zhí)行的命令，如下所示。

該惡意軟件通過使用 reboot cron命令在啟動(dòng)時(shí)執(zhí)行惡意軟件來保持在Linux設(shè)備上的持久性。

Volexity表示，他們發(fā)現(xiàn)了其他版本，這些版本利用了DISGOMOJI和USB數(shù)據(jù)竊取腳本的其他持久性機(jī)制，包括XDG自動(dòng)啟動(dòng)條目。

一旦設(shè)備被攻破，威脅者就會(huì)利用其訪問權(quán)限進(jìn)行橫向傳播，竊取數(shù)據(jù)，并試圖從目標(biāo)用戶那里竊取更多憑據(jù)。