新的 Linux 恶意软件通过 Discord 发送的表情符号进行控制
2024-6-27 15:40:22 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

一种新发现的 Linux 恶意软件被称为“DISGOMOJI”,它使用一种新颖的方法,利用表情符号在受感染的设备上执行命令,并以此攻击了印度的政府机构。

该恶意软件是由网络安全公司 Volexity 发现的,该公司认为它与巴基斯坦的威胁行为者“UTA0137”有关。

2024 年,Volexity 发现了一个疑似巴基斯坦威胁分子发起的网络间谍活动,Volexity 目前以别名 UTA0137 跟踪该活动。

该恶意软件与用于不同攻击的许多其他后门/僵尸网络类似,允许威胁分子执行命令、截取屏幕截图、窃取文件、部署其他有效负载以及搜索文件。然而,它使用 Discord 和表情符号作为命令和控制 (C2) 平台,这使得该恶意软件与众不同,并可能使其绕过寻找基于文本的命令的安全软件。

Discord 和表情符号作为 C2

据 Volexity 称,研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件,该可执行文件很可能是通过钓鱼邮件传播的,之后研究人员发现了该恶意软件。

Volexity 认为,该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。然而,该恶意软件同样可以轻易用于攻击其他 Linux 发行版。

恶意软件运行时会下载并显示一个 PDF 诱饵,该诱饵是印度国防军官公积金的受益人表格,用于军官死亡时使用。

但是,还会在后台下载其他有效载荷,包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本,用于搜索 USB 驱动器并从中窃取数据。

当 DISGOMOJI 启动时,恶意软件将从机器中窃取系统信息,包括 IP 地址、用户名、主机名、操作系统和当前工作目录,并将这些信息发送回攻击者。

为了控制恶意软件,威胁者利用开源命令和控制项目 discord-c2,该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。恶意软件将连接到攻击者控制的 Discord 服务器,并等待威胁者在频道中输入表情符号。

DISGOMOJI 在 Discord 服务器上的命令通道中监听新消息。C2 通信使用基于表情符号的协议进行,攻击者通过向命令通道发送表情符号向恶意软件发送命令,并在表情符号后附加其他参数(如果适用)。

当 DISGOMOJI 正在处理命令时,它会在命令消息中用“时钟”表情符号做出反应,让攻击者知道命令正在处理中。命令完全处理后,“时钟”表情符号反应将被删除,DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应,以确认命令已执行。

九个表情符号用于表示在受感染设备上执行的命令,如下所示。

该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。

Volexity 表示,他们发现了其他版本,这些版本利用了 DISGOMOJI 和 USB 数据窃取脚本的其他持久性机制,包括 XDG 自动启动条目。

一旦设备被攻破,威胁者就会利用其访问权限进行横向传播,窃取数据,并试图从目标用户那里窃取更多凭据。

参考及来源:

https://www.bleepingcomputer.com/news/security/new-linux-malware-is-controlled-through-emojis-sent-from-discord/

原文来源:嘶吼专业版
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247544617&idx=3&sn=e2445d8c96339fb18dd0236958924603&chksm=c1e9a378f69e2a6e3bd0936873a14358cde1281a6cf7516962857fe5c66d065925b319ca64d6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh