DISGOMOJI」と名付けられた新たに発見されたLinuxマルウェアは、インドの政府機関への攻撃において、感染したデバイス上でコマンドを実行するために絵文字を利用するという斬新な手法を使用している。
このマルウェアは、サイバーセキュリティ企業Volexity社によって発見されたもので、パキスタンを拠点とする「UTA0137」として知られる脅威行為者に関連していると考えられている。
「2024年、Volexityは、現在VolexityがUTA0137という別名で追跡しているパキスタンを拠点とする脅威行為者の疑いがある人物によって行われたサイバースパイキャンペーンを特定しました」とVolexityは説明する。
「Volexityは、UTA0137がスパイ関連の目的を持っており、インドの政府機関をターゲットにしていると確信を持って評価しています。Volexityの分析によると、UTA0137のキャンペーンは成功しているようです」と研究者は続ける。
このマルウェアは、さまざまな攻撃で使用されている他の多くのバックドア/ボットネットと類似しており、脅威行為者はコマンドの実行、スクリーンショットの撮影、ファイルの窃取、追加のペイロードの展開、ファイルの検索を行うことができます。
しかし、コマンド・アンド・コントロール(C2)プラットフォームとしてDiscordと絵文字を使用することで、このマルウェアは他のマルウェアと一線を画し、テキストベースのコマンドを探すセキュリティソフトウェアを回避できる可能性があります。
C2としてのDiscordと絵文字
Volexityによると、このマルウェアは、研究者がZIPアーカイブの中にUPXがパックされたELF実行ファイルを発見した後に発見されました。
Volexity社は、このマルウェアはインドの政府機関がデスクトップとして使用しているBOSSという名前のカスタムLinuxディストリビューションを標的にしていると考えている。しかし、このマルウェアは他のLinuxディストリビューションに対する攻撃にも同様に簡単に使用できる。
このマルウェアが実行されると、インド国防省の国防将校給付基金(Defence Service Officer Provident Fund)から、将校が死亡した場合の受給者フォームであるPDFがダウンロードされ、表示される。
しかし、DISGOMOJIマルウェアや、USBドライブを検索してそこからデータを盗むために使用される「uevent_seqnum.sh」という名前のシェルスクリプトなど、追加のペイロードがバックグラウンドでダウンロードされる。
DISGOMOJIが起動すると、マルウェアはマシンからIPアドレス、ユーザー名、ホスト名、オペレーティングシステム、現在の作業ディレクトリなどのシステム情報を流出させ、攻撃者に送り返す。
マルウェアを制御するために、脅威当事者はオープンソースのコマンド&コントロールプロジェクトであるdiscord-c2を利用します。
マルウェアは攻撃者が管理するDiscordサーバーに接続し、脅威行為者がチャンネルに絵文字を入力するのを待ちます。
「DISGOMOJIは、Discordサーバー上のコマンドチャンネルで新しいメッセージを待ち受けます。C2通信は絵文字ベースのプロトコルを使用して行われ、攻撃者はコマンドチャンネルに絵文字を送信してマルウェアにコマンドを送信します。DISGOMOJIがコマンドを処理している間、コマンドメッセージ内の「時計」の絵文字で反応し、攻撃者にコマンドが処理中であることを知らせます。コマンドが完全に処理されると、「時計」の絵文字のリアクションは削除され、DISGOMOJIはコマンドが実行されたことを確認するために、コマンドメッセージのリアクションとして「チェックマークボタン」の絵文字を追加します。”
❖ Volexity
感染したデバイス上で実行するコマンドを表現するために、以下の9つの絵文字が使用されます。
このマルウェアは、@reboot cronコマンドを使用して起動時にマルウェアを実行することで、Linuxデバイス上での永続性を維持する。
Volexity社によると、DISGOMOJIとUSBデータ盗難スクリプトのために、XDGの自動起動エントリを含む他の永続化メカニズムを利用する追加バージョンを発見したという。
いったんデバイスが侵入されると、脅威者はそのアクセス権を利用して横方向に拡散し、データを盗み出し、標的のユーザーからさらに認証情報を盗み出そうとします。
絵文字は、マルウェアにとっては「かわいい」目新しさのように見えるかもしれませんが、文字列ベースのマルウェアコマンドを探すのが一般的なセキュリティソフトウェアによる検出を回避できる可能性があり、興味深いアプローチとなっています。
Comments