Linuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーを制御する
2024年6月18日 BleepingComputerはLinuxで感染するマルウェア「DISGOMOJI」が感染したデバイス上で絵文字を使用してコマンドを実行するという斬新な手法を採用している事を報道しました。
目次
マルウェアの利用者:脅威アクター「UTA0137」
マルウェア「DISGOMOJI」はサイバーセキュリティ企業 Volexity によって発見され、同社はこのマルウェアが「UTA0137」として知られるパキスタンを拠点とする脅威アクターと関連していると考えています。Volexityは現在、この攻撃者をUTA0137という別名で追跡しています。
UTA0137がスパイ活動に関連した目的で、Volexityの分析に基づくと、「インドの政府機関を標的とする権限を持っていると高い確信を持っていると推測され、UTA0137のキャンペーンは成功しているようです」と説明しています。
マルウェア「DISGOMOJI」の挙動
このマルウェアは、さまざまな攻撃で使用される他の多くのバックドア/ボットネットと類似しており、脅威アクターがコマンドを実行したり、スクリーンショットを撮ったり、ファイルを盗んだり、追加のペイロードを展開したり、ファイルを検索したりすることを可能にします。
しかし、Discord と絵文字をコマンド アンド コントロール (C2) プラットフォームとして使用する点が、このマルウェアを他のマルウェアよりも目立たせており、テキストベースのコマンドを探すセキュリティ ソフトウェアを回避できる可能性があります。
C2としてのDiscordと絵文字
Volexity によれば、このマルウェアは、研究者らが ZIP アーカイブ内の UPX で圧縮された ELF 実行ファイルを発見したことで判明しました。
このファイルはフィッシング メールで配布された可能性が高いとしています。
Volexity は、このマルウェアはインド政府機関がデスクトップとして使用している BOSS というカスタム Linux ディストリビューションをターゲットにしていると考えています。
ただし、このマルウェアは他の Linux ディストリビューションへの攻撃にも同様に簡単に使用される可能性があります。
マルウェアが実行
マルウェアが実行されると、インド国防軍将校年金基金の将校死亡時の受取人フォームである PDF 形式のルアーがダウンロードされ、表示されます。
ルアーが表示されると、DISGOMOJI マルウェアや、USB ドライブを検索してデータを盗むために使用される「uevent_seqnum.sh」というシェル スクリプトなど、追加のペイロードがバックグラウンドでダウンロードされます。
DISGOMOJI が起動されると、マルウェアは
・IP アドレス
・ユーザー名
・ホスト名
・OS
・現在の作業ディレクトリなど
上記のシステム情報をマシンから盗み出し、攻撃者に送り返します。
マルウェアを制御するために、脅威の攻撃者はオープンソースのコマンドアンドコントロール プロジェクトdiscord-c2を利用し、Discord と絵文字を使用して感染したデバイスと通信しコマンドを実行します。
マルウェアは攻撃者が管理する Discord サーバーに接続し、脅威の攻撃者がチャンネルに絵文字を入力するのを待ちます。
「DISGOMOJI は Discord サーバーのコマンド チャネルで新しいメッセージをlistenします。
C2 通信は絵文字ベースのプロトコルを使用して行われ、攻撃者はコマンド チャネルに絵文字を送信することでマルウェアにコマンドを送信します。
絵文字の後に、該当する場合は追加のパラメータが続き、DISGOMOJI がコマンドを処理している間、コマンド メッセージに「時計」絵文字が表示され、コマンドが処理中であることを攻撃者に知らせます。
コマンドが完全に処理されると、「時計」絵文字の反応は削除され、DISGOMOJI はコマンド メッセージへの反応として「チェック マーク ボタン」絵文字を追加して、コマンドが実行されたことを確認します。」
感染したデバイスで実行するコマンドを表す9つの絵文字
感染したデバイスで実行するコマンドを表すために、以下の 9 つの絵文字が使用されます。
マルウェアは、@reboot cronコマンドを使用して起動時にマルウェアを実行することで、Linux デバイス上での永続性を維持します
Volexity 社は、「 XDG 自動起動エントリなど、DISGOMOJI と USB データ盗難スクリプトの他の永続化メカニズムを利用した追加バージョンを発見した」とも述べています。
デバイスが侵害されると、脅威の攻撃者はそのアクセスを利用して横方向に拡散し、データを盗み、標的のユーザーから追加の資格情報を盗もうとします。
引用:New Linux malware is controlled through emojis sent from Discord