Linux 恶意软件利用 Discord 表情符号攻击印度政府目标

网络安全研究人员正在追踪一种新型 Linux 恶意软件活动，该活动利用 Discord 表情符号与攻击者进行命令和控制 (C2) 通信。

Volexity 的研究人员表示，此次攻击活动将Linux 恶意软件和网络钓鱼诱饵进行了不同寻常的组合，表明该攻击针对的是 Linux 桌面用户。

他们写道：“Volexity 评估称，此次攻击活动及其所使用的恶意软件很有可能专门针对印度政府机构，这些机构使用名为 BOSS 的定制 Linux 发行版作为日常桌面。 ”

威胁行为者“UTA0137”与该活动相关
Volexity 的研究人员将该活动与他们称之为 UTA0137 的巴基斯坦威胁行为者联系起来。

研究人员表示，他们“高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体。根据 Volexity 的分析，UTA0137 的活动似乎取得了成功。”

• 研究人员表示，他们“有信心”UTA0137 是一个来自巴基斯坦的威胁行为者，因为该组织的目标和其他一些原因：
• 在一个恶意软件样本中，巴基斯坦时区被硬编码。
• 与已知巴基斯坦威胁行为者 SideCopy 的基础设施联系薄弱。
• 该恶意软件使用了旁遮普语。

该威胁组织使用的恶意软件使用修改版的discord-c2 GitHub 项目进行 Discord 命令和控制 (C2) 通信。研究人员将该恶意软件称为 DISGOMOJI，使用 Golang 编写并针对 Linux 系统进行编译。

威胁行为者还利用 DirtyPipe (CVE-2022-0847) 权限提升漏洞攻击“BOSS 9”系统，但该系统仍然容易受到该漏洞的攻击。

攻击从 DSOP PDF 开始
该恶意软件通过 DSOP.pdf 诱饵进行传播，该诱饵声称是印度国防服务官员公积金的受益人文件（下面的截图）。

下载恶意软件的 DSOP 诱饵

然后，恶意软件会从远程服务器 clawsindia[.]in 下载下一阶段的有效负载，名为 vmcoreinfo。该有效负载是 DISGOMOJI 恶意软件的一个实例，并被放置在用户主目录中名为 .x86_64-linux-gnu 的隐藏文件夹中。

DISGOMOJI 是一个用 Golang 编写的 UPX 打包 ELF，使用 Discord 作为 C2。他们写道：“身份验证令牌和服务器 ID 被硬编码在 ELF 中，用于访问 Discord 服务器。该恶意软件在 Discord 服务器中为自己创建了一个专用频道，这意味着服务器中的每个频道代表一个单独的受害者。然后攻击者可以使用这些频道与每个受害者单独互动。”

启动时，DISGOMOJI 会在频道中发送签到消息，其中包含内部 IP、用户名、主机名、操作系统和当前工作目录等信息。通过在 crontab 中添加 @reboot 条目，该恶意软件可以在重新启动后继续运行，它还会下载名为 uevent_seqnum.sh 的脚本，以从任何连接的 USB 设备复制文件。

用于 C2 通信的 Discord 表情符号
C2 通信使用基于表情符号的协议，“攻击者通过向命令通道发送表情符号来向恶意软件发送命令，并在适用的情况下在表情符号后附加参数。”

命令消息中的时钟表情符号让攻击者知道命令正在处理中，而复选标记表情符号则确认命令已执行。研究人员在表格中总结了表情符号命令：

用于与攻击者交流的 Discord 表情符号（来源：Volexity）

后漏洞利用活动包括使用 Zenity 实用程序显示恶意对话框，以社交工程手段诱使用户交出密码。研究人员表示，还使用了 Nmap、Chisel 和 Ligolo 等开源工具，而 DirtyPipe 漏洞利用表明攻击者的手段越来越复杂。

可以从 Volexity GitHub 页面下载妥协指标 (IoC)：

• YARA 规则
• 单值指标