'Disgomoji' olarak adlandırılan yeni keşfedilen bir Linux kötü amaçlı yazılım, Hindistan'daki devlet kurumlarına yönelik saldırılarda enfekte olmuş cihazlarda komutlar yürütmek için emojileri kullanmanın yeni yaklaşımını kullanıyor.
Kötü amaçlı yazılım, 'UTA0137' olarak bilinen Pakistan merkezli bir tehdit aktörüyle bağlantılı olduğuna inanan siber güvenlik firması Volexity tarafından keşfedildi.
Volexity, "2024'te Volexity, Pakistan merkezli bir tehdit oyuncusu tarafından gerçekleştirilen Volexity'nin şu anda UTA0137 takma adı altında izlediği bir siber-ihale kampanyası tespit etti."
Araştırmacılar, "Volexity, UTA0137'nin casuslukla ilgili hedeflere ve Hindistan'daki devlet kuruluşlarını hedeflemek için bir göreve sahip olduğuna dair yüksek güvenle değerlendiriyor. Volexity'nin analizine dayanarak, UTA0137'nin kampanyaları başarılı görünüyor."
Kötü amaçlı yazılım, farklı saldırılarda kullanılan diğer birçok arka kapıya/botnete benzer, tehdit aktörlerinin komutlar yürütmesine, ekran görüntüleri almasına, dosyaları çalmasına, ek yükler dağıtmasına ve dosya aramasına izin verir.
Bununla birlikte, anlaşmazlık ve emojileri bir komut ve kontrol (C2) platformu olarak kullanması, kötü amaçlı yazılımları başkalarından öne çıkarır ve metin tabanlı komutlar arayan güvenlik yazılımlarını atlamasına izin verebilir.
Volexity'ye göre, araştırmacılar, muhtemelen kimlik avı e-postaları aracılığıyla dağıtılan bir zip arşivinde UPX dolu bir ELF'de yürütülebilir bir şekilde tespit ettikten sonra kötü amaçlı yazılım keşfedildi.
Volexity, kötü amaçlı yazılımın, Hint hükümet ajanslarının masaüstü olarak kullandıkları patron adlı özel bir Linux dağıtımını hedeflediğine inanıyor. Ancak, kötü amaçlı yazılım diğer Linux dağıtımlarına yönelik saldırılarda kolayca kullanılabilir.
Uygulandığında, kötü amaçlı yazılım, bir memurun ölümü durumunda Hindistan'ın Savunma Servisi Görevlisi İhtiyat Fonu'ndan faydalanıcı bir form olan bir PDF cazibesi indirecek ve görüntüleyecektir.
Bununla birlikte, Disgomoji kötü amaçlı yazılımları ve USB sürücülerini aramak ve bunlardan veri çalmak için kullanılan 'uevent_seqnum.sh' adlı bir kabuk komut dosyası da dahil olmak üzere arka planda ek yükler indirilecektir.
Disgomoji başlatıldığında, kötü amaçlı yazılım sistem bilgilerini, IP adresi, kullanıcı adı, ana bilgisayar adı, işletim sistemi ve saldırganlara geri gönderilen mevcut çalışma dizini de dahil olmak üzere makineden söndürür.
Kötü amaçlı yazılımları kontrol etmek için, tehdit aktörleri, enfekte olmuş cihazlarla iletişim kurmak ve komutları yürütmek için anlaşmazlık ve emojileri kullanan açık kaynaklı komuta ve kontrol projesini kullanır.
Kötü amaçlı yazılım, saldırgan kontrollü bir Discord sunucusuna bağlanacak ve tehdit aktörlerinin emojileri kanala yazmasını bekleyecektir.
"Disgomoji, Discord sunucusundaki komut kanalında yeni mesajlar dinler. C2 iletişimi, emoji kanalına emoji göndererek, emojiyi takip eden ek parametrelerle, emoji göndererek emoji yazılımına komut gönderdiği emoji tabanlı bir protokol kullanılarak gerçekleşir. Disgomoji bir komutu işlerken, komutun komutun tamamen işlendiğini bildirmek için komut mesajında bir "saat" emojisi ile tepki verir. Komutun yürütüldüğünü onaylamak için komut mesajına bir reaksiyon olarak ”Emoji'yi işaretleyin.
Dokuz emoji, aşağıda listelenen enfekte bir cihazda yürütme komutlarını temsil etmek için kullanılır.
Kötü amaçlı yazılım, önyüklemede kötü amaçlı yazılımları yürütmek için @Reboot Cron komutunu kullanarak Linux cihazında kalıcılığı korur.
Volexity, Disgomoji için diğer kalıcılık mekanizmalarını ve XDG Autostart girişleri de dahil olmak üzere USB veri hırsızlığı komut dosyası kullanan ek versiyonlar keşfettiklerini söylüyor.
Bir cihaz ihlal edildiğinde, tehdit aktörleri yanal olarak yayılmaya, verileri çalmaya ve hedeflenen kullanıcılardan ek kimlik bilgilerini çalmaya çalışırlar.
Emojiler kötü amaçlı yazılım için "sevimli" bir yenilik gibi görünse de, genellikle dize tabanlı kötü amaçlı yazılım komutlarını arayan güvenlik yazılımı tarafından algılamaya izin verebilir ve bu da ilginç bir yaklaşım haline getirebilir.
Kaspersky, bilinen tehditler için Linux'u tarayan ücretsiz aracı yayınladı
Ebury Botnet Kötü Yazılım 2009'dan beri 400.000 Linux sunucusuna enfekte oldu
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Warmcookie Windows Backdoor sahte iş teklifleri aracılığıyla itildi
Çinli bilgisayar korsanları dünya çapında 20.000 Fortigate Sistemini ihlal etti
Kaynak: Bleeping Computer