Linux sistemleri çoğunlukla sunucularda, bulutta ve hayati önem taşıyan ortamlarda konuşlandırılır; sonuç olarak genellikle tehdit aktörlerinin saldırılarıyla tehlikeye girerler.
Linux’un bu geniş kullanımı ve dağıtımı, hizmetleri kesintiye uğratmak ve hassas verilere erişmek isteyen tehdit aktörleri için onu kazançlı bir hedef haline getiriyor.
Bunun yanı sıra, Linux işletim sisteminin açık kaynak yapısı, tehdit aktörlerinin kod tabanını olası güvenlik açıklarına karşı kapsamlı bir şekilde analiz etmesine olanak tanır.
Volexity’deki siber güvenlik araştırmacıları yakın zamanda Discord tabanlı kötü amaçlı yazılımın Hindistan’daki kuruluşların Linux sistemlerine saldırdığını keşfetti.
Teknik Analiz
Hindistan’da, Pakistan merkezli olduğundan şüphelenilen bir tehdit aktörü olan UTA0137’nin, özel bir Linux kötü amaçlı yazılımı olan DISGOMOJI’yi kullanarak Hindistan hükümetine karşı bir siber casusluk kampanyası yürüttüğü tespit edildi.
MALWARE, emojiler üzerinden komut ve kontrol iletişimi için Discord mesajlaşma hizmetini kullanır.
BOSS Linux dağıtımının sahte belgelerinin kullanımı, kampanyanın esas olarak BOSS Linux dağıtımını çalıştıran kullanıcıları hedef aldığını ortaya koyuyor.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
UTA0137, savunmasız BOSS 9 sistemlerinde DirtyPipe ayrıcalık yükseltme güvenlik açığından (CVE-2022-0847) yararlandı.
Bu kampanyada, veri sızdırma için üçüncü taraf depolama hizmetleri kullanıldı ve enfeksiyon sonrası açık kaynaklı araçlar kullanıldı; bu, Hindistan hükümetinin hedeflerine karşı casusluk faaliyetleri yürütmeye olan ilgisinin ortaya çıkmasına yardımcı oldu.
Volexity araştırmacıları, uzak bir sunucudan DISGOMOJI kötü amaçlı yazılımını dağıtmak için zararsız görünen sahte bir PDF kullanan, UPX ile paketlenmiş Golang tabanlı bir ELF’yi inceledi.
Ayrıca bu, Discord’u kullanan kötü amaçlı yazılımdır çünkü kurban başına özel kanallar kullanır ve saldırgan ile her kurbanın benzersiz bir şekilde etkileşime girmesine olanak tanır.
Sistem detaylarını alır, mısır kullanmaya devam eder, USB’lerden veri kopyalayabilir, dosya aktarabilir ve dolayısıyla olası bilgi kaybına neden olur.
DISGOMOJI, Discord üzerinde komuta ve kontrol için emoji tabanlı bir protokol kullanır. Saldırgan, kötü amaçlı yazılımın işleyeceği ve onaylayacağı komutlar vermek için emojiler gönderir.
Son kampanyalar, UPX paketli Golang ELF’lerin, cron ve otomatik başlatma girişleri aracılığıyla kalıcılık katan, bileşenlerini gizleyen ve birden fazla örneği önleyecek şekilde gelişen ve C2 verilerini dinamik olarak alan DISGOMOJI’yi gizlice getirirken yem belgeleri sunmasını içeriyor.
Uevent_seqnum.sh gibi komut dosyaları aracılığıyla bağlı USB aygıtlarından veri çalmaya devam ediyor.
DISGOMOJI birden fazla örneğin çalışıp çalışmadığını kontrol ediyor ve çalışıyorsa çıkıyor, artık dayanıklılık için Discord kimlik doğrulama belirteçlerini ve sunucu kimliklerini C2’den dinamik olarak alıyor ve muhtemelen analistlerin kafasını karıştırmayı amaçlayan birçok yanıltıcı dize içeriyor.
Kullanım sonrası UTA0137, Nmap ile ağ taramayı, oshi Chisel ve Ligolo aracılığıyla tünel açmayı kullanır[.]dosya paylaşım hizmetinde ve Zenity gibi yardımcı programlarla kullanıcıları şifrelerini açığa çıkarmaları için kandıracak sosyal mühendislikte.
Hedeflenen sistemlerdeki ayrıcalıkları artırmak için DirtyPipe gibi yeni güvenlik açıklarını aktif olarak araştırıyorlar.
Hedefleme modelleri ve sabit kodlanmış eserler, UTA0137’nin, özellikle Hindistan hükümet birimlerine karşı casusluk peşinde koşan Pakistan merkezli bir tehdit aktörü olduğunu gösteriyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free