Siber güvenlik araştırmacıları, saldırganlarla komuta ve kontrol (C2) iletişimi için Discord emojilerini kullanan yeni bir Linux kötü amaçlı yazılım saldırısını izliyor.
Volexity’den araştırmacılar, kampanyanın Linux kötü amaçlı yazılımları ve kimlik avı tuzaklarından oluşan olağandışı birleşiminin, Linux masaüstü kullanıcılarını hedef alan bir saldırıyı işaret ettiğini söyledi.
“Volexity, bu kampanyanın ve kullanılan kötü amaçlı yazılımın, özellikle günlük masaüstü bilgisayarları olarak BOSS adlı özel bir Linux dağıtımını kullanan Hindistan’daki devlet kurumlarını hedef alma ihtimalinin yüksek olduğunu değerlendiriyor” diye yazdılar.
Tehdit Aktörü ‘UTA0137’ Kampanyayla Bağlantılı
Volexity araştırmacıları, kampanyayı UTA0137 adını verdikleri Pakistan merkezli bir tehdit aktörüne bağladı.
Araştırmacılar, “UTA0137’nin casuslukla ilgili hedeflere sahip olduğuna ve Hindistan’daki hükümet kuruluşlarını hedef alma yetkisine sahip olduğuna dair yüksek güvene sahip olduklarını” söyledi. Volexity’nin analizine göre UTA0137’nin kampanyaları başarılı görünüyor.”
Araştırmacılar, grubun hedefleri ve diğer birkaç nedenden dolayı UTA0137’nin Pakistan merkezli bir tehdit aktörü olduğuna “orta düzeyde güven” duyduklarını söylüyor:
- Pakistan saat dilimi bir kötü amaçlı yazılım örneğine kodlanmıştı.
- Pakistan merkezli olduğu bilinen bir tehdit aktörü olan SideCopy ile altyapı bağlantıları zayıf.
- Kötü amaçlı yazılımda Pencap dili kullanıldı.
Tehdit grubu tarafından kullanılan kötü amaçlı yazılım, Discord komut ve kontrol (C2) iletişimi için discord-c2 GitHub projesinin değiştirilmiş bir versiyonunu kullanıyor. Araştırmacılar tarafından DISGOMOJI olarak adlandırılan kötü amaçlı yazılım, Golang dilinde yazılmış ve Linux sistemleri için derlenmiştir.
Tehdit aktörleri ayrıca, istismara karşı savunmasız kalan “BOSS 9” sistemlerine karşı DirtyPipe (CVE-2022-0847) ayrıcalık yükseltme istismarını da kullanıyor.
Saldırı DSOP PDF ile Başlıyor
Kötü amaçlı yazılım, Hindistan Savunma Hizmet Görevlisi İhtiyat Fonu’nun yararlanıcı belgesi olduğu iddia edilen bir DSOP.pdf yemi aracılığıyla dağıtılıyor (ekran görüntüsü aşağıda).
Daha sonra kötü amaçlı yazılım, vmcoreinfo adlı bir sonraki aşama veriyi, pençesindia adlı uzak bir sunucudan indirir.[.]Yük, DISGOMOJI kötü amaçlı yazılımının bir örneğidir ve kullanıcının ana dizinindeki .x86_64-linux-gnu adlı gizli bir klasöre bırakılır.
Golang’da yazılmış, UPX dolu bir ELF olan DISGOMOJI, C2 için Discord’u kullanıyor. “Discord sunucusuna erişmek için kullanılan ELF’nin içinde bir kimlik doğrulama belirteci ve sunucu kimliği sabit kodlanmıştır” diye yazdılar. “Kötü amaçlı yazılım Discord sunucusunda kendine özel bir kanal oluşturuyor, bu da sunucudaki her kanalın ayrı bir kurbanı temsil ettiği anlamına geliyor. Saldırgan daha sonra bu kanalları kullanarak her kurbanla ayrı ayrı etkileşime geçebilir.”
DISGOMOJI başlangıçta kanala dahili IP, kullanıcı adı, ana bilgisayar adı, işletim sistemi ve mevcut çalışma dizini gibi bilgileri içeren bir check-in mesajı gönderir. Kötü amaçlı yazılım, crontab’a @reboot girişi eklenmesiyle yeniden başlatmalardan kurtulabilir ve ayrıca bağlı herhangi bir USB cihazından dosya kopyalamak için uevent_seqnum.sh adlı bir komut dosyası indirir.
C2 İletişiminde Kullanılan Discord Emojileri
C2 iletişimi, “saldırganın komut kanalına emojiler göndererek kötü amaçlı yazılıma komutlar gönderdiği ve uygun olduğunda emojiyi takip eden ek parametrelerle birlikte” emoji tabanlı bir protokol kullanır.
Komut mesajındaki Saat emojisi, saldırganın bir komutun işlendiğini bilmesini sağlarken, Onay İşareti emojisi de komutun yürütüldüğünü doğruluyor. Araştırmacılar emoji komutlarını bir tabloda özetlediler:
İstismar sonrası faaliyetler arasında, kullanıcıların şifrelerini vermelerini sağlayacak şekilde sosyal mühendislik yapmak amacıyla kötü amaçlı iletişim kutuları görüntülemek için Zenity yardımcı programının kullanılması yer alır. Araştırmacılar, Nmap, Chisel ve Ligolo gibi açık kaynaklı araçların da kullanıldığını ve DirtyPipe istismarının, saldırganın yöntemlerinin giderek daha karmaşık hale geldiğini gösterdiğini söyledi.
Tehlike göstergeleri (IoC’ler) Volexity GitHub sayfasından indirilebilir: