แฮกเกอร์ชาวปากีสถานใช้มัลแวร์ DISGOMOJI ในการโจมตีทางไซเบอร์ของรัฐบาลอินเดีย

214/67 (IT) ประจำวันอังคารที่ 18 มิถุนายน 2567

ผู้ต้องสงสัยเป็นภัยคุกคามในปากีสถาน มีส่วนเกี่ยวข้องกับแคมเปญจารกรรมทางไซเบอร์ที่กำหนดเป้าหมายโจมตีหน่วยงานรัฐบาลของประเทศอินเดียในปี 2024 โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity กำลังติดตามกิจกรรมภายใต้ชื่อรหัสว่า UTA0137 โดยสังเกตเห็นว่าฝ่ายตรงข้ามใช้มัลแวร์ที่เรียกว่า DISGOMOJI ซึ่งเขียนด้วยภาษา Golang และออกแบบมาเพื่อแพร่กระจายในระบบ Linux เพียงอย่างเดียว มันเป็นเวอร์ชันดัดแปลงของโครงการสาธารณะ Discord-C2 ซึ่งใช้บริการส่งข้อความ Discord เพื่อสั่งการและควบคุม (C2) โดยใช้อิโมจิสำหรับการสื่อสารไปยัง C2 เป็นที่น่าสังเกตว่า DISGOMOJI เป็นเครื่องมือจารกรรมแบบครบวงจร แบบเดียวกับที่ BlackBerry กล่าวว่าค้นพบโดยเป็นส่วนหนึ่งของการวิเคราะห์โครงสร้างพื้นฐานที่เกี่ยวข้องกับแคมเปญการโจมตีที่ติดตั้งโดยกลุ่มภัยคุกคาม Transparent Tribe ซึ่งเป็นทีมแฮ็กเกอร์ของปากีสถานและ Nexus โดยมีรูปแบบห่วงโซ่การโจมตีเริ่มต้นด้วยการใช้อีเมลฟิชชิ่งไปยังเป้าหมาย ที่มีไบนารี Golang ELF ที่จัดส่งภายในไฟล์เก็บถาวร ZIP จากนั้นไบนารีจะดาวน์โหลดเอกสารล่อลวงที่ไม่เป็นอันตราย ในขณะเดียวกันก็ดาวน์โหลดไฟล์ข้อมูล DISGOMOJI จากเซิร์ฟเวอร์ระยะไกลอย่างลับๆ DISGOMOJI ซึ่งเป็นทางแยกแบบกำหนดเองของ Discord-C2 ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลโฮสต์และเรียกใช้คำสั่งที่ได้รับจากเซิร์ฟเวอร์ Discord ที่ควบคุมโดยผู้โจมตี นอกจากนี้ยังใช้แนวทางใหม่ในการส่งและประมวลผลคำสั่งโดยใช้อิโมจิต่าง ๆ เช่น อิโมจิรูปคนกำลังวิ่ง คือสั่งให้ดำเนินการคำสั่งบนอุปกรณ์ของเหยื่อ หรืออิโมจิรูปกล้องถ่ายรูป คือสั่งให้จับภาพหน้าจอหน้าจอของเหยื่อ เป็นต้น    

นอกจากนี้ UTA0137 ยังถูกพบว่าใช้เครื่องมือโอเพ่นซอร์สที่ถูกต้องตามกฎหมาย เช่น Nmap, Chisel และ Ligolo เพื่อการสแกนเครือข่ายและการหาช่องโหว่ตามลำดับ โดยแคมเปญล่าสุดรายการหนึ่งยังใช้ประโยชน์จากข้อบกพร่อง DirtyPipe ( CVE-2022-0847 ) เพื่อให้บรรลุการยกระดับสิทธิ์กับ Linux กลยุทธ์หลังการแสวงหาประโยชน์อีกประการหนึ่งเกี่ยวข้องกับการใช้ยูทิลิตี้ Zenityเพื่อแสดงกล่องโต้ตอบที่เป็นอันตรายซึ่งปลอมตัวเป็นการอัปเดต Firefox เพื่อทำ Social engineering และหลอกให้บอกรหัสผ่านของตน  ผู้โจมตีประสบความสำเร็จในการโจมตีเหยื่อจำนวนหนึ่งด้วยมัลแวร์ Golang, DISGOMOJI และได้ปรับปรุง DISGOMOJI เมื่อเวลาผ่านไป

แหล่งข่าว https://thehackernews.com/2024/06/pakistani-hackers-use-disgomoji-malware.html