Yeni keşfedilen ve ‘DISGOMOJI’ olarak adlandırılan bir Linux kötücül yazılımı, Hindistan’daki devlet kurumlarına yönelik saldırılarda virüs bulaşmış cihazlarda komutları yürütmek için emojileri kullanma gibi yeni bir yaklaşıma sahip.
Kötü amaçlı yazılım siber güvenlik firması Volexity tarafından keşfedildi ve ‘UTA0137’ olarak bilinen Pakistan merkezli bir tehdit aktörüyle bağlantılı olduğu düşünülüyor. Volexity, “2024 yılında,şu anda UTA0137 takma adıyla izlediği Pakistan merkezli şüpheli bir tehdit aktörü tarafından üstlenilen bir siber casusluk kampanyası tespit ettik,” diyor ve ekliyor: “Volexity, UTA0137’nin casuslukla ilgili hedefleri olduğunu ve Hindistan’daki devlet kurumlarını hedef aldığını düşünüyoruz.
Kötü amaçlı yazılım, farklı saldırılarda kullanılan diğer birçok arka kapı/botnete benziyor ve tehdit aktörlerinin komutları yürütmesine, ekran görüntüsü almasına, dosyaları çalmasına, ek yükler dağıtmasına ve dosyaları aramasına olanak tanıyor. Ancak, komuta ve kontrol (C2) platformu olarak Discord ve emojileri kullanması, kötü amaçlı yazılımı diğerlerinden ayırıyor ve metin tabanlı komutları arayan güvenlik yazılımlarını atlamasına izin verebiliyor.
Kötücül yazılım dağıtımında Discord ve emojiler
Volexity’ye göre söz konusu kötü amaçlı yazılım, araştırmacıların bir ZIP arşivinde, muhtemelen kimlik avı e-postaları yoluyla dağıtılan UPX paketlenmiş bir ELF yürütülebilir dosyasını tespit etmelerinin ardından keşfedildi. Volexity, kötü amaçlı yazılımın Hindistan devlet kurumlarının masaüstü olarak kullandığı BOSS adlı özel bir Linux dağıtımını hedeflediğine inanıyor.
Kötücül yazılım çalıştırıldığında, bir memurun ölümü durumunda Hindistan’ın Savunma Hizmeti Memur İhtiyat Fonu’ndan bir yararlanıcı formu olan bir PDF yemini indirip görüntülüyor. Bununla birlikte, kötü amaçlı yazılımı arka planda USB sürücüleri aramak ve bunlardan veri çalmak için kullanılan ‘uevent_seqnum.sh’ adlı bir kabuk betiği de dahil olmak üzere ek yükler indiriyor.
Hangi emojiler kullanılıyor?
DISGOMOJI başlatıldığında, kötü amaçlı yazılım makineden IP adresi, kullanıcı adı, ana bilgisayar adı, işletim sistemi ve saldırganlara geri gönderilen mevcut çalışma dizini dahil olmak üzere sistem bilgilerini sızdıracaktır. Kötü amaçlı yazılımı kontrol etmek için tehdit aktörleri, virüslü cihazlarla iletişim kurmak ve komutları yürütmek için Discord ve emojileri kullanan açık kaynaklı komut ve kontrol projesi discord-c2’yi kullanıyor.
Virüs bulaşmış bir cihazda yürütülecek komutları temsil etmek için dokuz emoji kullanılır ve bunlar aşağıda listelenmiştir.
Kötü amaçlı yazılım, açılışta kötü amaçlı yazılımı çalıştırmak için @reboot cron komutunu kullanarak Linux cihazında kalıcılığını koruyor. Volexity, DISGOMOJI ve USB veri hırsızlığı komut dosyası için XDG otomatik başlatma girişleri de dahil olmak üzere diğer kalıcılık mekanizmalarını kullanan ek sürümler keşfettiklerini söylüyor.