Центр перспективных исследований Trellix уже анализировал вредоносные программы, использующие инфраструктуру Discord. Однако большинство образцов представляют собой похитители информации и троянские программы удаленного доступа (RAT). Это первый случай обнаружения образца, связанного с APT-активностью и использующего Discord.
Способы использования Discord вредоносными программами сводятся к двум основным приемам: загрузке дополнительных файлов и утечке информации.
Для загрузки дополнительных файлов из Discord злоумышленники используют одну из функций Discord, известную как сеть доставки контента (CDN). Эта функция позволяет злоумышленникам загружать любые файлы, которые впоследствии могут быть скачаны.
Процесс происходит следующим образом: злоумышленник создает пользователя Discord, который будет использоваться для загрузки файла, который впоследствии будет скачан. Мы называем этот файл "вторым этапом". Затем злоумышленник отправляет "второй этап" любому другому пользователю, даже самому себе, в приватный чат или группу. При этом не обязательно, чтобы он был публичным и был доступен всем желающим.
После того как "второй этап" будет загружен, злоумышленнику достаточно скопировать ссылку из файла, которая будет выглядеть примерно так (обратите внимание, что, несмотря на безобидность файла, Trellix блокирует его в качестве превентивной меры):
https://cdn.discordapp.com/attachments/1132934093626155160/1132934665569845268/regular_file.gif
Полученная ссылка и будет использоваться образцом для загрузки "второго этапа" с любой системы с включенным HTTP/HTTPS с помощью простого GET-запроса.
Процесс эксфильтрации через Discord осуществляется с помощью одной из его функций автоматизации - webhooks, которая позволяет злоумышленнику отправлять не только информацию в виде текстовых сообщений, но и файлы и другие данные, хранящиеся на машине жертвы.
Для настройки webhooks злоумышленнику, как и в предыдущем случае, необходимо завести учетную запись Discord. Затем необходимо создать приватный сервер, который будет содержать один канал по умолчанию, но злоумышленник может создать и другие, куда будут отправляться данные для эксфильтрации. После этого он может создать веб-хук, который будет действовать только для указанного канала этого сервера
После создания веб-хук будет иметь связанный с ним URL-адрес, аналогичный следующему:
- https://discord.com/api/webhooks/1132979047434031114/EE348nUDlBRLFmucBjUy8-EBVxiJLOYaIhEZkCF6fT5QaIO-BCoGZ1_xCv2hWFBUg0-E.
URL webhook состоит из двух переменных - идентификатора webhook, в примере "1132979047434031114", и идентификатора токена, в примере "EE348nUDlBRLFmucBjUy8-EBVxiJLOYaIhEZkCF6fT5QaIO-BCoGZ1_xCv2hWFBUg0-E", обязательных для отправки по нему сообщений. Это означает, что злоумышленнику нужен только URL webhook, чтобы начать перехват информации у жертвы, но это также означает, что любой может отправлять сообщения через тот же webhook, если знает эти значения.
После отправки сообщения злоумышленник получит его в соответствующем канале.
Indicators of Compromise
URLs
- https://discord.com/api/webhooks/1106570095184052315/l2AtfWUd-YUVbgrl7z5oHRKLk7lVFFccddg3fu1k6nY5Vf7ttgcKvQhxTpUTi9eDj9B5
- https://raw.githubusercontent.com/sndhrqqw/codelance/master/codelance
SHA256
- 010e11f748663de4269fcbf42511e0879754c52959763b467d7e66d48e80fb3c
- 5fec8e1eaff88a80fd3841c17bcfabb752f5af794f0fc87f1b572db8de166cd6
- 9eebf0a378076a838e2dd300a7f147d2b3385a96f9d7baae4d1ae2e610d5ca4c
- ceeb012723d6e9f53757c6a1692fa3ffec93fe688c50e619242b55fa9825f691