Аналитики Volexity обнаружили Linux-малварь DISGOMOJI, которая использует эмодзи для выполнения команд на зараженных устройствах и в основном атакует правительственные учреждения в Индии.
Эксперты полагают, что этот вредонос связан с пакистанскими хакерами, известным под идентификатором UTA0137.
«С высокой степенью вероятности Volexity предполагает, что группа UTA0137 преследует цели, связанные со шпионажем, и нацелена на правительственные организации в Индии. По результатам нашего анализа, кампании UTA0137, судя по всему, были успешными», — рассказывают специалисты.
В целом DISGOMOJI похожа на многие другие бэкдоры, позволяя злоумышленникам выполнять команды, делать скриншоты, похищать файлы, развертывать дополнительные полезные нагрузки и искать конкретные файлы. Однако от других угроз этого вредоноса отличает использование Discord в качестве управляющего сервера и эмодзи, что позволяет ему обходить защитные системы, которые обычно реагируют на текстовые команды.
Малварь была обнаружена после того, как исследователи заметили в ZIP-архиве исполняемый файл ELF, упакованный с помощью UPX. Предполагается, что этот архив распространялся через фишинговые письма.
В Volexity считают, что вредонос нацелен на кастомный дистрибутив Linux под названием BOSS, который широко используется индийскими правительственными учреждениями. Однако малварь может не менее эффективно использоваться и для атак на другие дистрибутивы.
При запуске вредонос загружает и отображает PDF-документ фальшивку, который связан с выплатой пособий в случае смерти офицера и якобы написан индийским Фондом обеспечения офицеров оборонной службы. При этом в фоновом режиме загружаются дополнительные полезные нагрузки, включая DISGOMOJI и шелл-скрипт под uevent_seqnum.sh, который используется для поиска USB-накопителей и кражи данных с них.
После запуска DISGOMOJI собирает системную информацию о зараженной машине, включая IP-адрес, имя пользователя, имя хоста, данные об операционной системе, которые передаются злоумышленникам. Кроме того, малварь закрепляется на зараженном Linux-устройстве благодаря использованию команды @reboot cron для выполнения при загрузке.
Для управления вредоносом злоумышленники применяют опенсорсный проект discord-c2, который использует Discord и эмодзи для связи с зараженными устройствами и выполнения команд. Так, малварь подключается к контролируемому злоумышленниками серверу Discord и ждет, пока атакующие запостят в канал эмодзи.
«DISGOMOJI прослушивает новые сообщения в управляющем канале на сервере Discord. C2-коммуникации осуществляются по протоколу, основанному на эмодзи, где злоумышленник отправляет команды вредоносному ПО, посылая эмодзи в командный канал (с дополнительными параметрами, если это необходимо). Пока DISGOMOJI обрабатывает команду, он отображает эмодзи “Часы” в сообщении, чтобы сообщить атакующему, что команда обрабатывается. Когда команда полностью обработана, реакция эмодзи “Часы” удаляется, и добавляется эмодзи “Кнопка с галочкой”, чтобы подтвердить, что команда выполнена», — рассказывают исследователи.
В общей сложности девять эмодзи используются для обозначения разных команд, выполняемых на зараженном устройстве.
После успешной атаки злоумышленники используют полуученый доступ для бокового перемещения по сети жертвы, кражи данных, а также пытаются похитить дополнительные учетные данные.
