15 de junio de 2024Sala de prensa Ciberespionaje/Malware
Se descubrió que un presunto actor de amenazas con sede en Pakistán estaba involucrado en una campaña de ciberespionaje dirigida a agencias gubernamentales indias en 2024.
La empresa de ciberseguridad Volexity ha estado rastreando esta actividad con el nombre UTA0137 y señaló que los atacantes utilizaban exclusivamente un malware llamado DISGOMOJI, escrito en el lenguaje Go y diseñado para infectar sistemas Linux.
“Esta es una versión modificada del proyecto público Discord-C2, que utiliza el servicio de mensajería Discord para comando y control (C2) y utiliza emojis para las comunicaciones C2”, dijo la compañía.
En particular, DISGOMOJI es la misma herramienta de espionaje “todo en uno” que supuestamente BlackBerry descubrió como parte de un análisis de infraestructura relacionado con una campaña de ataque del grupo de hackers paquistaní Transparent Tribe.
La cadena de ataque comienza con un correo electrónico de phishing que contiene un binario Golang ELF entregado dentro de un archivo ZIP. Luego, el binario descarga un documento señuelo benigno y al mismo tiempo descarga de forma encubierta una carga útil DISGOMOJI desde un servidor remoto.
DISGOMOJI, una bifurcación personalizada de Discord-C2, está diseñada para capturar información del host y ejecutar comandos recibidos de servidores Discord controlados por atacantes. También adopta un enfoque novedoso al utilizar diferentes emojis para enviar y procesar comandos.
🏃♂️ – Ejecutar comandos en el dispositivo de la víctima 📸 – Capturar capturas de pantalla de la pantalla de la víctima 👇 – Subir archivos desde el dispositivo de la víctima al canal 👈 – Subir archivos desde el dispositivo de la víctima Reenviar[.]sh ☝️ – Descargar archivos al dispositivo de la víctima 👉 – Descargar archivos alojados en oshi[.]🔥 – Encuentra y roba archivos que coincidan con las siguientes extensiones: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP 🦊 – En el dispositivo de la víctima Recopila todos los perfiles de Mozilla Firefox en un archivo ZIP 💀 – Finaliza el proceso de malware en el dispositivo de la víctima 🕐 – Notifica al atacante que el comando se está procesando ✅ – La ejecución del comando está completa Notifica al atacante que lo has hecho
“El malware crea canales dedicados dentro del servidor Discord, por lo que cada canal dentro del servidor representa una víctima individual”, dijo Volexity. “Esos canales permiten a los atacantes interactuar con cada víctima individualmente”.
La compañía dice que tiene la capacidad de establecer persistencia, evitar que se ejecuten procesos DISGOMOJI duplicados al mismo tiempo y obtener credenciales dinámicamente para conectarse a un servidor Discord en tiempo de ejecución en lugar de codificarlas. Los investigadores dicen que han descubierto varias variantes de. DISGOMOJI que tienen la capacidad de bloquear el análisis mostrando información falsa o mensajes de error.
También se ha observado que UTA0137 utiliza herramientas legítimas de código abierto como Nmap, Chisel y Ligolo para fines de escaneo de red y creación de túneles, respectivamente, y en una de sus campañas recientes, aprovechó la vulnerabilidad DirtyPipe (CVE -2022-0847) para lograr escalada de privilegios en hosts Linux.
Otra táctica posterior a la explotación es utilizar la utilidad Zenity para mostrar un cuadro de diálogo malicioso disfrazado de una actualización de Firefox y luego diseñar socialmente al usuario para que divulgue su contraseña.
“Los atacantes infectaron con éxito a un gran número de víctimas utilizando el malware Golang DISGOMOJI”, dijo Volexity. “UTA0137 ha mejorado DISGOMOJI con el tiempo”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/pakistani-hackers-use-disgomoji-malware.html
