Главная страница » Индикаторы компрометации
0
1 год
Индикаторы компрометации

Пакистанский хакер UTA0137 атакует индийские госструктуры с помощью вредоносного ПО DISGOMOJI через Discord

security

Компания Volexity, специализирующаяся на кибербезопасности, обнаружила новую кампанию кибершпионажа, проводимую злоумышленником из Пакистана под ником UTA0137. Целью атак стали индийские правительственные организации, а инструментом - вредоносная программа DISGOMOJI, написанная на языке Golang и предназначенная для операционных систем Linux. Особенность этого вредоносного ПО заключается в использовании сервиса Discord для управления зараженными системами, причем команды передаются не текстом, а через эмодзи, что может затруднять обнаружение угрозы системами защиты.

Описание

Атака начинается с социальной инженерии: злоумышленники распространяют вредоносные документы-приманки, рассчитанные на сотрудников индийских госучреждений. Жертвы, использующие специализированный дистрибутив Linux под названием BOSS (Bharat Operating System Solutions), становятся мишенью для заражения. После успешного внедрения DISGOMOJI применяет различные методы для закрепления в системе, включая создание заданий cron и записей автозапуска XDG. Программа способна собирать конфиденциальные данные, в том числе содержимое подключенных USB-устройств, и передавать их злоумышленникам.

Одной из ключевых уязвимостей, использованных UTA0137, стал эксплойт DirtyPipe (CVE-2022-0847), позволяющий повысить привилегии в системе. По данным Volexity, некоторые версии BOSS 9 до сих пор не защищены от этой уязвимости, несмотря на то, что она была обнаружена еще в 2022 году. Это подчеркивает важность своевременного обновления программного обеспечения, особенно в государственных учреждениях, где устаревшие системы могут стать легкой добычей для хакеров.

С течением времени злоумышленник усовершенствовал DISGOMOJI, сделав его более устойчивым к блокировке. Например, он изменил механизм работы с токенами Discord, что позволяет быстро обходить ограничения, накладываемые платформой. Если Discord блокирует сервер, используемый для управления ботнетом, злоумышленник может оперативно обновить конфигурацию вредоносного ПО, перенаправив его на новый сервер.

Еще одной особенностью DISGOMOJI является использование эмодзи вместо текстовых команд, что, по мнению экспертов, может помогать вредоносной программе избегать обнаружения. Многие системы защиты анализируют текстовые данные, но не всегда учитывают нестандартные символы, такие как эмодзи. Это делает атаку более скрытной и сложной для выявления.

После заражения системы DISGOMOJI выполняет ряд вредоносных действий, включая сканирование сети с помощью Nmap, создание сетевых туннелей через инструменты Chisel и Ligolo, а также взаимодействие с жертвой через диалоговые окна, сгенерированные с помощью Zenity. Последнее особенно опасно, так как позволяет злоумышленнику имитировать легитимные системные уведомления и выманивать у пользователей дополнительную информацию.

Volexity связывает эту кампанию с Пакистаном на основе нескольких факторов: настройки часового пояса в логах, использование урду в некоторых компонентах вредоносного ПО, а также выбор целей - индийские госструктуры. Это не первый случай, когда пакистанские хакерские группы атакуют индийские организации, что указывает на возможную политическую или разведывательную подоплеку атак.

Эксперты по кибербезопасности рекомендуют организациям, особенно государственным, усилить защиту рабочих станций, регулярно обновлять ПО, обучать сотрудников основам кибергигиены и внедрять системы мониторинга, способные выявлять нестандартные методы коммуникации, такие как передача команд через эмодзи. В противном случае риски утечки критически важных данных останутся крайне высокими.

Индикаторы компрометации

MD5

  • 01c34ccd7ca7c5cdf88272d8c9071004
  • 04a3f16c76f2e6d9eba34dd132fc8c27
  • 237961bbba6d4aa2e0fae720d4ece439
  • 2bf596603c432fa46b494dc3edd2d30f
  • 2c06e31bc2969df108697061325b2e8a
  • 2d4a5050c7ea6c83665807df151e067e
  • 3ce8dfb3f1bff805cb6b85a9e950b3a2
  • 3d4e5dbf9b7a6e7336a354b71d4d1a8b
  • 49cbbf586ba1480599be02915e5a8b34
  • 52992eb3a59d7acb736cf9b607337d62
  • 55c90ff429e4fd72034922383aa31078
  • 56cb95b63162d0dfceb30100ded1131a
  • 60fc5dc410b7482566a74d03549d8246
  • 635864ff270cf8e366a7747fb5996766
  • 777cbc972609d26fe6597a442cdf4589
  • 898bfd3df2ccd9508e0bfab672f5f61a
  • 8bf9cf1363e404a9ad3e0fa9e53057cb
  • 9012904377e6934797c8689b8c9268c6
  • 95e17125be0b0f4a4ea1b3d01cc73238
  • 9f3359ae571c247a8be28c0684678304
  • a9182c812c7f7d3e505677a57c8a353b
  • c9969ece7bb47efac4b3b04cdc1538e5
  • d5f2e3fafbb0701dc0f1adccc7141e63
  • da745b60b5ef5b4881c6bc4b7a48d784
  • de115e15a6689cf32519c3a046a78626
  • e0102071722a87f119b12434ae651b48
  • e6667ab32fbda86a2d2a72ed7e52b146
  • ee8d767069faf558886f1163a92e4009
  • f14e778f4d22df275c817ac3014873dc
  • f2501e8b57486c427579eeda20b729fd
  • f5d8664cbf4a9e154d4a888e4384cb1d
  • f68b17f1261aaa4460d759d95124fbd4

SHA1

  • 038ae7e6e6708cb58db96512515177d84b71e8c2
  • 0d4111ab5471c7f5b909bff336ba8cd66f9d8630
  • 1443e58a298458c30ab91b37c0335bdadbacd756
  • 25dc7c1237e5076c80fb867fb11d058387e1d154
  • 31a1b6e836684c6d7b5d8f7a099dbe090282cbb0
  • 34cefe42aa8347c39a04eaca5a464fa35d6f1e62
  • 465ef9d21e73493e9d531378756f91917f9567f4
  • 513b4b604d198f44041ed494ee8c7a7f94ac5038
  • 5b7b0b0d7d59e616b0cf75a25ad67dfca89495c4
  • 5dd201fa53cb5c76103579785a3d220d578dd12a
  • 616661c324a8dfb836bd88a3c1325dc79e030ddd
  • 6f3f3c533a2b9031362d88bb7414bf332c93dc9d
  • 749a8d081e075b921436d07e323964da88bff609
  • 7515a93da10b7d3f4619a38cc3f1a1bd25ddb847
  • 765b17c1e2e1ab3d2fbdba3ccffcdcc4bd750102
  • 88949119f88b15722a2b75ca84db7a6bfc822948
  • 892d434f3f59b3b8bd4ca500218a75d39c13ee5b
  • 8c969dbe0fe30244802cda1c8e33b04040831466
  • 9244a07ce8f961317ba49e497009e55889f1d50d
  • af137c7d1481e45217abd24a96f8aa2b416d294c
  • b8fd89cf6e9aae16321553a2e632e31b2cf2f057
  • bcadcb345fc65a9c3d7c78566ad72a77c6076a11
  • bfdd02fa593d3858399da6bf591aeb10b2d1da40
  • c1916403a6ad05fed4da5fb53ce743b6ce49e0cb
  • c1c3454ed5bf32f22c855b19618bcd16e6549df8
  • c45e1cc5cd0c98388ec71221278950f9b1257ed8
  • caa130a8e3f5ca0a7f33de4b2b26e0e25dd10775
  • d0aff8489c02230d4c0935e21125f81895bf6cde
  • d6855190e00276cad29a31573f819558256abe7f
  • dab2f50307c86544719ae5f72d386ac8bc4d01e3
  • e19c23d82d7e7e8e45b1d830ddc7ddb85087c4cc
  • e1bdb995998ab338fc596777a78121fc49f002b5
  • e76c3f3a7158c16c28176053286dcb88ac646dbf
  • fc5ccb2b0a0b536ccb9687c67cc4ce735b866635

SHA256

  • 03666fb1c21d8a8cf38219691d2218d78eef5b00d20f26c25afde5d9e1daf80a
  • 0c284271e3d90a6673d84cf6291f92f32ade7c7f760bbe135880b949b38046ee
  • 1844156b1a72a7daa8de4139175a2bdeb4bd326b9e3e1fb4dd2ae00b313b0a44
  • 1b1d1d775571232235ed6fb84413eb60593340c1c1ea3b77bd72d3b68058f55c
  • 1cdf1f32f31e226f037fda562985e481b7aa0b809971f2e40b713b034cf1d44e
  • 1e45d68106ca78f46be508427362b8ce24fdf5485c368f9369c913935cf04f99
  • 1e657d3047f3534dcd4539ce54db9f5901f7e53999bae340a850cc8d2aacc33c
  • 207334927fc39278e37afe124769ed980e9a8ae86b0346408af64c86a7c99e6a
  • 26bf853b951e8d8ba6007e9d5c77f441faa739171e95f27f8d3851e07bc65b11
  • 2cec6bd5e9ff046771623cfa0802cacd78b7521bf61b144e9c8dfa77d994927c
  • 37bfa72c2820bcf9adb8707ae624452e0b769bc1c1f2a24ebb518c6e1794f3e2
  • 3845877017eb07be71820e8514502a3dcd24177540591c5ce2c13aca94caa4ac
  • 38e1c0ca15ed83ed27148c31a31e0b33de627519ab2929d4aa69484534589086
  • 3d1b3ba5e1c1d1626595098f042913bc39601c80ab2c934cb994d3c053f218c5
  • 4ddf0c70be0b81ab44f018521f788213de2ccf72b7a7f452f327b81172014182
  • 51a372fee89f885741515fa6fdf0ebce860f98145c9883f2e3e35c0fe4432885
  • 5821744413146654397903128fece87d7d9d71c4ade5fd40cdcf3cece2faf8f0
  • 5ef431a481c9baeb1d8cfaf6e1c323531a57c14a5b878575b267f2f969451fdb
  • 74e0af32c47e3bbe6becfb4027bbdcc01fbe36c92c70ce8edd676cc9aa3d6437
  • 76d9654f28bcaa713a99caa2839a572fc999a726827a0216da71ac184cee6d19
  • 8c8ef2d850bd9c987604e82571706e11612946122c6ab089bd54440c0113968e
  • 9709b0876c2a291cb57aa0646f9179d29d89abb2f8868663147ab0ca4e6c501b
  • 98b24fb7aaaece7556aea2269b4e908dd79ff332ddaa5111caec49123840f364
  • 9c1ffafe0bb4388569fed2a8d4af591ce65ae00f47793ee97c07f686c5fab100
  • ae59ba12ec6a42ee5b08c3e2ce91ec02071b2f5ad9338e3a19d690bd68acb860
  • af2201af8054e8e11eef7980fe15dc62eb2b7582f4f2bab4d8256f23f6db984e
  • bac7e6776c120b2b5da4d171afaea26144e77ad54f7516a0325260ee020b3f52
  • c177361992b207575b9aeb98aad7c2d522eace7ada6f1351434dd79a921ce260
  • c981aa1f05adf030bacffc0e279cf9dc93cef877f7bce33ee27e9296363cf002
  • cfb9ffb83877b421e95c9a2c3f65c106b9afb42babce7ba824671f9736bf0f7c
  • d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529
  • dfb72668791b4fe28884706b7756b02b951b43219e528b970ceb0369c86e3fd3
  • ead993c1d537c239750e19a5700a58501dab319d5d271bf85137608448c1faa0
  • fe7e7a5a1b1d634dec3fc9c6bc91c6e96ec635fece5af10cfac894fd228ca38d
Комментарии: 0
Похожие записи
0
13.06.2025
Индикаторы компрометации

APT-C-56 атакует Linux-системы с новым вариантом DISGOMOJI

APT
Недавно эксперты 360 Advanced Threat Research обнаружили новую кампанию, в которой APT-C-56 использовал модифицированную версию вредоносного ПО DISGOMOJI, написанного на Golang.
0
05.08.2024
Индикаторы компрометации

StormBamboo APT IOCs

security
В середине 2023 года исследователи из компании Volexity обнаружили несколько инцидентов, в которых StormBamboo, также известный как Evasive Panda, использовал отравление DNS для взлома систем на уровне интернет-провайдеров.
0
12.01.2024
Индикаторы компрометации, Уязвимости

Активная эксплуатация двух уязвимостей нулевого дня в Ivanti Connect Secure VPN

vulnerability
Компания Volexity обнаружила активную эксплуатацию двух уязвимостей, позволяющих неавторизованно выполнять удаленный код на устройствах Ivanti Connect Secure VPN.