Af Eskil Sørensen, 18/06/24
En nyopdaget Linux-malware ved navn ”DISGOMOJI” bruger emojis til at afvikle kommandoer på inficerede enheder.
Det skriver Bleeping Computer om den nye angrebsmetode, der er blevet observeret i angreb på offentlige myndigheder i Indien.
Malwaren er opdaget af cybersikkerhedsfirmaet Volexity, som mener, at den er forbundet med en pakistansk-baseret trusselsaktør kendt som ”UTA0137”. Hvilket giver mening set i lyset af det anstrengte forhold mellem Pakistan og Indien.
Discord og emojis
Malwaren skal ligne mange andre bagdøre/botnets, der giver trusselsaktører mulighed for at afvikle kommandoer, tage skærmbilleder, stjæle filer, implementere yderligere payloads og søge efter filer. Det nye er imidlertid, at UTA0137 angiveligt bruger Discord og emojis som en command-and-controlplatform (C2). Brugen af emojis gør, at den kan omgå sikkerhedssoftware, der leder efter tekstbaserede kommandoer.
Ifølge Volexity blev malwaren opdaget, efter at researchere opdagede en UPX-pakket ELF eksekverbar i et ZIP-arkiv, som sandsynligvis har været distribueret gennem phishing-e-mails. Volexity mener også, at malwaren er rettet mod en tilpasset Linux-distribution ved navn BOSS, som indiske regeringsorganer bruger som deres skrivebord.
Bleeping Computer forklarer, at malwaren ifm. afvikling vil downloade og vise PDF-baseret lokkemad, som er en formular fra Indiens Defense Service Officer Provident Fund, som distribueres i tilfælde af en officers død. Der vil også blive downloadet yderligere payloads i baggrunden, inklusive DISGOMOJI malware og et shell-script ved navn 'uevent_seqnum.sh', der bruges til at søge efter USB-drev og stjæle data fra dem. Derudover bruger trusselsaktørerne deres adgang til at sprede sig sideværts, stjæle data og forsøge at stjæle legitimationsoplysninger fra ofrene.
Høster informationer
Når DISGOMOJI lanceres, vil malwaren trække systemoplysninger fra maskinen, inklusive IP-adresse, brugernavn, værtsnavn, operativsystem og den aktuelle arbejdsmappe, som sendes tilbage til angriberne. For at kontrollere malwaren anvender trusselsaktørerne så en open source-C2, som bruger Discord og emojis til at kommunikere med inficerede enheder og afvikle kommandoer. Malwaren opretter simpelthen forbindelse til en angriberstyret Discord-server og venter på, at trusselsaktørerne skriver emojis ind i kanalen. Derudover er der yderligere kommando-kommunikation frem og tilbage, hvor forskellige emojis som ild, ræv, løbende mand, pegende finger bruges alt afhængig af hvilken ordres, der skal udføres, fremgår det.
Med andre ord: En ny angrebsmetode er set, og den vil ifølge Bleeping Computer bruges lige så nemt i angreb mod andre Linux-distributioner og ikke kun den indiske BOSS.
Volexity vurderer, at formålet med angrebsaktiviteter har været cyberspionage, som ser ud til at have været succesfuldt.
Links:
https://www.bleepingcomputer.com/news/security/new-linux-malware-is-cont...