‘DISGOMOJI’ olarak adlandırılan yeni keşfedilen bir Linux kötü amaçlı yazılımı, Hindistan’daki devlet kurumlarına yönelik saldırılarda virüslü cihazlarda komutları yürütmek için emojilerden yararlanmaya yönelik yeni bir yaklaşım kullanıyor.
Kötü amaçlı yazılım, ‘UTA0137’ olarak bilinen Pakistan merkezli bir tehdit aktörüyle bağlantılı olduğuna inanan siber güvenlik firması Volexity tarafından keşfedildi.
Volexity, “2024 yılında Volexity, Pakistan merkezli şüpheli bir tehdit aktörü tarafından yürütülen ve Volexity’nin şu anda UTA0137 takma adı altında takip ettiği bir siber casusluk kampanyasını tespit etti” diye açıklıyor.
Araştırmacılar şöyle devam etti: “Volexity, UTA0137’nin casuslukla ilgili hedeflere sahip olduğunu ve Hindistan’daki hükümet kuruluşlarını hedef alma yetkisine sahip olduğunu yüksek bir güvenle değerlendiriyor. Volexity’nin analizine göre, UTA0137’nin kampanyaları başarılı görünüyor.”
Kötü amaçlı yazılım, farklı saldırılarda kullanılan diğer birçok arka kapıya/botnet’e benzer; tehdit aktörlerinin komutları yürütmesine, ekran görüntüleri almasına, dosyaları çalmasına, ek yükler dağıtmasına ve dosya aramasına olanak tanır.
Ancak Discord ve emojileri bir komuta ve kontrol (C2) platformu olarak kullanması, kötü amaçlı yazılımın diğerlerinden öne çıkmasını sağlıyor ve metin tabanlı komutlar arayan güvenlik yazılımlarını atlatmasına olanak tanıyor.
C2 olarak discord ve emojiler
Volexity’ye göre kötü amaçlı yazılım, araştırmacıların ZIP arşivinde UPX dolu bir ELF yürütülebilir dosyasını tespit etmesinden sonra keşfedildi; bu dosya muhtemelen kimlik avı e-postaları aracılığıyla dağıtılıyor. Volexity, kötü amaçlı yazılımın, Hindistan devlet kurumlarının masaüstü bilgisayar olarak kullandığı BOSS adlı özel bir Linux dağıtımını hedeflediğine inanıyor.
Çalıştırıldığında, kötü amaçlı yazılım, bir memurun ölümü durumunda Hindistan Savunma Hizmet Görevlisi İhtiyat Fonu’ndan yararlanan bir form olan bir PDF yemini indirecek ve görüntüleyecektir.
Ancak, DISGOMOJI kötü amaçlı yazılımı ve USB sürücülerini aramak ve onlardan veri çalmak için kullanılan ‘uevent_seqnum.sh’ adlı bir kabuk komut dosyası da dahil olmak üzere ek yükler arka planda indirilecek.
DISGOMOJI başlatıldığında, kötü amaçlı yazılım, IP adresi, kullanıcı adı, ana bilgisayar adı, işletim sistemi ve mevcut çalışma dizini dahil olmak üzere sistem bilgilerini makineden sızdıracak ve saldırganlara geri gönderecektir.
Kötü amaçlı yazılımı kontrol etmek için tehdit aktörleri, virüslü cihazlarla iletişim kurmak ve komutları yürütmek için Discord ve emojileri kullanan açık kaynaklı komut ve kontrol projesi discord-c2’yi kullanıyor.
Kötü amaçlı yazılım, saldırganın kontrolündeki bir Discord sunucusuna bağlanacak ve tehdit aktörlerinin kanala emoji yazmasını bekleyecek.
“DISGOMOJI, Discord sunucusundaki komut kanalındaki yeni mesajları dinliyor. C2 iletişimi, saldırganın, uygun olduğunda emojiyi takip eden ek parametrelerle birlikte, komut kanalına emojiler göndererek kötü amaçlı yazılıma komutlar gönderdiği emoji tabanlı bir protokol kullanılarak gerçekleşir. DISGOMOJI bir komutu işlerken, saldırganın komutun işlendiğini bilmesini sağlamak için komut mesajında bir “Saat” emojisi ile tepki verir. Komut tamamen işlendikten sonra “Saat” emojisi tepkisi kaldırılır ve DISGOMOJI bir “Saat” emojisi ekler. Komutun yürütüldüğünü onaylamak için komut mesajına tepki olarak “İşaret Düğmesini Kontrol Et” emojisini kullanın.”
❖ Volexity
Aşağıda listelenen, virüs bulaşmış bir cihazda yürütülecek komutları temsil etmek için dokuz emoji kullanılıyor.
Kötü amaçlı yazılım, önyükleme sırasında kötü amaçlı yazılımı yürütmek için @reboot cron komutunu kullanarak Linux cihazında kalıcılığı korur.
Volexity, DISGOMOJI ve XDG otomatik başlatma girişleri de dahil olmak üzere USB veri hırsızlığı komut dosyası için diğer kalıcılık mekanizmalarını kullanan ek sürümler keşfettiklerini söylüyor.
Bir cihaz ihlal edildiğinde, tehdit aktörleri erişimlerini yanal olarak yayılmak, verileri çalmak ve hedeflenen kullanıcılardan ek kimlik bilgileri çalmaya çalışmak için kullanır.
Emojiler, kötü amaçlı yazılım için “sevimli” bir yenilik gibi görünse de, genellikle dize tabanlı kötü amaçlı yazılım komutlarını arayan güvenlik yazılımı tarafından tespit edilmesini atlamasına izin vererek bunu ilginç bir yaklaşım haline getirebilir.