Linux sistemi su raspoređeni uglavnom na serverima, u oblaku i u okruženjima koja se smatraju vitalnim; shodno tome, često su narušeni napadima hakera.
Ova široka upotreba i implementacija Linux-a čini ga unosnom metom za hakere koji žele ometati usluge i pristupiti osjetljivim podacima.
Osim toga, priroda otvorenog koda Linux operativnog sistema omogućava hakerima da sveobuhvatno analiziraju njegovu bazu koda u potrazi za potencijalnim ranjivostima.
Istraživači sajber sigurnosti u Volexity-ju nedavno su otkrili da zlonamjerni softver zasnovan na Discordu napada Linux sisteme organizacija u Indiji.
Technical Analysis
U Indiji je otkriveno da je UTA0137, osumnjičeni prijetnja sa sjedištem u Pakistanu, izveo kampanju sajber špijunaže protiv indijske vlade koristeći DISGOMOJI, prilagođeni Linux malver.
Za komandnu i kontrolnu komunikaciju preko emojija, MALWARE koristi Discord uslugu za razmjenu poruka.
Korištenje lažnih dokumenata za distribuciju BOSS Linuxa otkriva da je kampanja bila usmjerena uglavnom na korisnike koji koriste BOSS Linux distribuciju.
UTA0137 je iskoristio ranjivost eskalacije privilegija DirtyPipe (CVE-2022-0847) u ranjivim BOSS 9 sistemima.
Ova kampanja je koristila usluge skladištenja trećih strana za eksfiltraciju podataka i koristila alate otvorenog koda za post-infekciju, što je pomoglo da pokaže svoj interes za obavljanje špijunskih aktivnosti protiv ciljeva indijske vlade.
.webp)
Istraživači Volexity-a su ispitali ELF baziran na Golangu prepun UPX-a koji je koristio bezopasni PDF za mamce za distribuciju DISGOMOJI malvera sa udaljenog servera.
Također, ovo je zlonamjerni softver koji koristi Discord jer koristi namjenske kanale po žrtvi, omogućavajući napadaču i svakoj žrtvi jedinstvenu interakciju.
On prima podatke o sistemu, može kopirati podatke sa USB-a i može prenositi datoteke, što posljedično omogućava mogući gubitak informacija.
DISGOMOJI koristi protokol zasnovan na emoji simbolima za komandu i kontrolu nad Discord-om. Napadač šalje emojis za izdavanje naredbi koje zlonamjerni softver obrađuje i potvrđuje.
.webp)
Nedavne kampanje uključuju UPX-pakovane Golang ELF-ove koji isporučuju dokumente o mamcima dok prikriveno preuzimaju DISGOMOJI, koji dodaje postojanost putem cron i autostart unosa, zamagljuje svoje komponente i evoluirao je da spriječi višestruke instance i dinamički preuzima C2 podatke.
I dalje krade podatke sa povezanih USB uređaja putem skripti kao što je uevent_seqnum.sh.
DISGOMOJI provjerava i izlazi ako je pokrenuto više instanci, sada dinamički dohvaća Discord tokene za autentifikaciju i ID-ove servera iz C2 radi otpornosti i sadrži mnoge obmanjujuće nizove koji su vjerovatno namijenjeni da zbune analitičare.
Nakon eksploatacije, UTA0137 koristi skeniranje mreže pomoću Nmap-a, tuneliranje preko Chisel-a i Ligolo-a, oshi[.]at servisa za razmjenu datoteka, i društveni inženjering sa uslužnim programima kao što je Zenity kako bi prevario korisnike da otkriju lozinke.
Oni aktivno istražuju nove ranjivosti kao što je DirtyPipe kako bi eskalirali privilegije na ciljanim sistemima.
Obrasci ciljanja i tvrdo kodirani artefakti sugerišu da je UTA0137 prijetnja sa sjedištem u Pakistanu koja provodi špijunažu, posebno protiv indijskih vladinih entiteta.
Izvor: CyberSecurityNews
