Недавно обнаруженная вредоносная программа для Linux, получившая название "DISGOMOJI", использует новый подход к использованию эмодзи для выполнения команд на зараженных устройствах при атаках на правительственные учреждения в Индии.
Вредоносная программа была обнаружена компанией Volexity, занимающейся вопросами кибербезопасности, которая считает, что она связана с базирующимся в Пакистане угрожающим субъектом, известным как "UTA0137".
"В 2024 году компания Volexity выявила кампанию кибершпионажа, проводимую предполагаемым угрожающим субъектом из Пакистана, которого Volexity в настоящее время отслеживает под псевдонимом UTA0137", - поясняет Volexity.
"Volexity с высокой степенью уверенности считает, что UTA0137 преследует цели, связанные со шпионажем, и нацелен на правительственные организации в Индии. По результатам анализа, проведенного Volexity, кампании UTA0137, судя по всему, были успешными, - продолжают исследователи.
Вредоносная программа похожа на многие другие бэкдоры/ботнеты, используемые в различных атаках, позволяя участникам угроз выполнять команды, делать скриншоты, красть файлы, развертывать дополнительную полезную нагрузку и искать файлы.
Однако использование Discord и эмодзи в качестве платформы управления и контроля (C2) выделяет эту вредоносную программу на фоне других и позволяет ей обходить защитные программы, которые ищут текстовые команды.
По данным Volexity, вредоносная программа была обнаружена после того, как исследователи заметили в ZIP-архиве исполняемый файл ELF с UPX-пакетом, который, вероятно, распространялся через фишинговые письма.
В Volexity считают, что вредоносная программа нацелена на пользовательский дистрибутив Linux под названием BOSS, который индийские правительственные учреждения используют в качестве рабочего стола. Однако вредоносная программа может с тем же успехом использоваться и для атак на другие дистрибутивы Linux.
При запуске вредоносная программа загружает и отображает PDF-приманку, которая представляет собой форму бенефициара из индийского Фонда обеспечения офицеров оборонной службы в случае смерти офицера.
Однако в фоновом режиме загружаются дополнительные полезные нагрузки, включая вредоносную программу DISGOMOJI и сценарий оболочки под названием 'uevent_seqnum.sh', который используется для поиска USB-накопителей и кражи данных с них.
При запуске DISGOMOJI вредоносная программа получает системную информацию с компьютера, включая IP-адрес, имя пользователя, имя хоста, операционную систему и текущий рабочий каталог, которая отправляется обратно злоумышленникам.
Для управления вредоносной программой злоумышленники используют открытый командно-контрольный проект discord-c2, который использует Discord и эмодзи для связи с зараженными устройствами и выполнения команд.
Вредоносная программа подключается к контролируемому злоумышленниками серверу Discord и ждет, пока угрожающие лица введут в канал эмодзи.
"DISGOMOJI" прослушивает новые сообщения в командном канале на сервере Discord. C2-коммуникации происходят по протоколу, основанному на эмодзи, где злоумышленник отправляет команды вредоносному ПО, посылая эмодзи в командный канал, с дополнительными параметрами, следующими за эмодзи, где это необходимо. Пока DISGOMOJI обрабатывает команду, он реагирует на нее эмодзи "Часы" в командном сообщении, чтобы сообщить атакующему, что команда обрабатывается. Когда команда полностью обработана, реакция эмодзи "Часы" удаляется, и DISGOMOJI добавляет эмодзи "Кнопка с галочкой" в качестве реакции на сообщение команды, чтобы подтвердить, что команда была выполнена."
Для обозначения команд, выполняемых на зараженном устройстве, используются девять эмодзи, которые перечислены ниже.
Вредоносная программа сохраняется на Linux-устройстве благодаря использованию команды @reboot cron для выполнения вредоносной программы при загрузке.
По словам представителей компании Volexity, они обнаружили дополнительные версии, использующие другие механизмы сохранения DISGOMOJI и сценария кражи данных с USB, включая записи автозапуска XDG.
После взлома устройства субъекты угрозы используют свой доступ для распространения по сети, кражи данных и попыток похитить дополнительные учетные данные целевых пользователей.
Хотя эмодзи могут показаться "милой" новинкой для вредоносной программы, они могут позволить ей обойти обнаружение программ безопасности, которые обычно ищут строковые команды вредоносного ПО, что делает этот подход интересным.
37Компания ASUS выпустила новое обновление прошивки, устраняющее уязвимость в семи моделях маршрутизаторов, позволяющую удаленным злоумышленникам войти в систему устройства.
33Группа израильских исследователей изучила безопасность рынка Visual Studio Code и сумела «заразить» более 100 организаций, добавив в копию популярной темы Dracula Official опасный код.
36Внутренний исходный код и данные, принадлежащие The New York Times, попали на доску объявлений 4chan после того, как были украдены из репозиториев GitHub компании в январе 2024 года, подтвердили BleepingComputer в The Times.
31Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии