最近,有关巴基斯坦威胁行为者监视印度政府的新闻屡见报端。
网络安全公司 Volexity 近日发现有一个高级持续性威胁(APT)利用 Discord 和表情符号作为命令和控制 (C2) 平台在受感染的设备上执行命令,使其绕过寻找基于文本的命令的安全软件,攻击了印度的政府机构。该恶意软件允许威胁行为者执行命令、截屏、窃取文件、部署其他有效负载和搜索文件。
Volexity公司认为,该攻击与与巴基斯坦的威胁行为者“UTA0137”有关。
Disgomoji恶意软件分析
据悉,Disgomoji 是基于 Golang 的开源自动 Discord-c2 程序的修改版。Discord 是其指挥中心,每个感染都通过自己的通道进行管理。
激活后,Disgomoji 会向攻击者发送基本的系统和用户信息,然后通过 "cron "工作调度程序重新启动,建立持久性。它还会下载并执行一个脚本,用于检查并窃取连接到主机系统的 USB 设备。
Disgomoji 最大的特点是对初级用户十分友好。攻击者无需使用复杂的字符串,只需使用基本的表情符号就能轻松操作。例如,相机表情符号表示 Disgomoji 应捕获并上传受害者设备的截图。“火”表情符号会告诉程序外泄与某些常见文件类型相匹配的所有文件: CVS、DOC、JPG、PDF、RAR、XLS、ZIP 等。骷髅头会终止恶意软件进程。
有些操作需要进一步的文本指令。例如,"人肉运行 "表情符号用于执行任何类型的命令,它需要一个额外的参数来说明命令的具体内容。
Volexity 的首席威胁情报分析师 Tom Lancaster表示:UTA0137 所做的这些表情定制化可能有助于绕过某些检测。但表情符号并不会对安全软件的检测产生太大影响。
有很多恶意软件家族都使用数字来表示应该运行哪条命令,而使用数字来表示运行哪条命令并不会让安全解决方案比表示相同意思的字符串更难处理。同样的逻辑也适用于表情符号。
比表情符号更令人担忧的是,UTA0137 最新利用了一个古早的 Linux 漏洞。
古早漏洞 Dirty Pipe 被“重启”
在最近的一次活动中,研究人员发现 UTA0137 利用了 CVE-2022-0847,这是一个CVSS评分为7.8的高严重性漏洞。该漏洞于两年前被首次公开,通常被称为 "Dirty Pipe",它允许未经授权的用户在目标 Linux 系统中升级并获得 root 权限。
截至目前, "BOSS "的 Linux 发行版仍然会受到该漏洞的影响,据悉该版本下载量超过 600 万次,主要集中在印度。
因此,Lancaster说,除了网络监控之外,企业还需要确保其操作系统是最新版本,这样才能更好地抵御已知的漏洞。
关于 Disgomoji,他补充说:由于该恶意软件使用 Discord 进行指挥和控制,企业应考虑其用户是否需要访问 Discord,如果认为没有必要,可以直接关闭该访问功能。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022