Pakistan’dan gelen gelişmiş bir kalıcı tehdit (APT), Hindistan hükümet kuruluşlarına karşı siber casusluk gerçekleştirmek için eski bir Linux hatasını ve arsız Discord tabanlı kötü amaçlı yazılımı kullanıyor.
Son zamanlarda Pakistanlı tehdit aktörlerinin Hindistan hükümeti hakkında casusluk yaptığına dair haberlerde çokça yer aldı. İlk önce raporlar geldi RusticWeb OperasyonuDaha sonra Şeffaf Kabile Ve Göksel Kuvvet. Araştırmacılar bu potansiyel olarak ilişkili operasyonlar arasındaki noktaları henüz kesin olarak birleştiremediler.
Bir bölümde açıklanan bir grup olan UTA0137’yi yığına ekleyin. yeni rapor Volexity’den. UTA0137, üst düzey hedeflerinden ödün verme konusunda başarılı oldu. “Kirli Boru” Linux çekirdeği güvenlik açığıve Blackberry araştırmacılarının yakın zamanda “hepsi bir arada” casusluk aracı olarak tanımladığı “Disgomoji”. Disgomoji’de bir değişiklik de var: Kötü amaçlı yazılım, tipik dizeler yerine emojiler kullanılarak yönlendiriliyor.
Disgomoji ᕙ( ͡° ͜ʖ ͡°)ᕗ Kötü Amaçlı Yazılım Analizi
Disgomoji, açık kaynaklı, Golang tabanlı, otolojik yazılımın değiştirilmiş bir versiyonudur. anlaşmazlık-c2 programı. Discord onun komuta merkezidirve her bir enfeksiyon kendi kanalı aracılığıyla yönetilir.
Etkinleştirmenin ardından Disgomoji, saldırgana temel sistem ve kullanıcı bilgilerini gönderiyor ve ardından “cron” iş planlayıcısı aracılığıyla yeniden başlatmalar yoluyla kalıcılık sağlıyor. Ayrıca, ana sisteme bağlı USB cihazlarını kontrol etmek ve bu cihazlardan çalmak için tasarlanmış bir komut dosyasını indirir ve çalıştırır.
Disgomoji’nin en büyük özelliği kullanıcı dostu olmasıdır. Saldırganlar, karmaşık dizeler yerine temel emojileri kullanarak talimat veriyor. Örneğin bir kamera emojisi, Disgomoji’nin kurbanın cihazının ekran görüntüsünü alıp yüklemesi gerektiğini belirtir. Bir yangın emojisi, programa belirli yaygın dosya türleriyle eşleşen tüm dosyaları dışarı çıkarmasını söyler: CVS, DOC, JPG, PDF, RAR, XLS, ZIP vb. Bir kafatası, kötü amaçlı yazılım sürecini sonlandırır.
Bazı eylemler daha fazla metin tabanlı talimat gerektirir. Örneğin, koşan bir emoji herhangi bir tür komutu yürütmek için kullanılır ve komutun tam olarak ne olacağını belirten ek bir argüman gerektirir.
Rahatlık ve eğlencenin yanı sıra emojiler önemli bir amaca hizmet etmiyor gibi görünüyor.
Volexity’nin baş tehdit istihbaratı analisti Tom Lancaster, “UTA0137 tarafından yapılan bazı özelleştirmelerin belirli tespitlerin atlanmasına yardımcı olması mümkündür” diyor. “Ancak emoji hilesi muhtemelen güvenlik yazılımı tespitleri açısından pek bir fark yaratmayacaktır. Hangi komutu çalıştırmaları gerektiğini belirtmek için sayıları kullanan çok sayıda kötü amaçlı yazılım ailesi vardır ve hangi komutun çalıştırılacağını belirtmek için sayıların kullanılması bunu sağlamaz. güvenlik çözümleri açısından aynı anlama gelen bir dizeden daha zordur. Aynı mantık emojiler için de geçerlidir.”
Muhtemelen emojilerden daha endişe verici olan, UTA0137’nin eski bir Linux hatasını en son istismar etmesidir.
Eski “Kirli Boru” Hatası İçin Musluğu Açmak
Yakın tarihli bir kampanyada araştırmacılar, UTA0137’nin 7,8 CVSS puanına sahip yüksek önem dereceli bir hata olan CVE-2022-0847’yi kullandığını gözlemledi. Genellikle “Kirli Boru” olarak anılan bu özellik, yetkisiz kullanıcıların hedeflenen kanallarda kök ayrıcalıklarını yükseltmesine ve elde etmesine olanak tanır. Linux sistemleri.
Kirli Boru şimdiye kadar eski bir haber olmalı çünkü ilk kez iki yıldan fazla bir süre önce kamuoyuna duyuruldu. Ancak bu durum, çoğunluğu Hindistan’da olmak üzere 6 milyondan fazla indirilen “BOSS” adlı Linux dağıtımını hâlâ etkiliyor.
Bu nedenle Lancaster, ağ izlemenin yanı sıra kuruluşların işletim sistemlerinin güncel olduğundan ve dolayısıyla bilinen güvenlik açıklarına karşı dayanıklı olduğundan emin olmaları gerektiğini söylüyor.
Disgomoji ile ilgili olarak şunu ekliyor: “Kötü amaçlı yazılım Discord’u komuta ve kontrol için kullandığından, kuruluşların, kullanıcıları için Discord’a erişimin gerekli olup olmadığını düşünmesi ve gereksiz görülmesi halinde bunu engellemesi gerekir. UTA0137 tarafından hedef alınması muhtemel kuruluşlar da aynı durumda olabilir. Kötü amaçlı yazılım bulaşmasını temsil edip etmediğini belirlemek için aktif veya güncel Discord bağlantısını denetlemek istiyorum.”