Главная страница » IOC
0
10 месяцев
IOC

DISGOMOJI Malware IOCs

security

Компания Volexity обнаружила кампанию кибершпионажа, которую предположительно поддерживает злоумышленник из Пакистана и которую они отслеживают под именем UTA0137. Вредоносное ПО, используемое в этой кампании, называется DISGOMOJI и написано на языке Golang для систем Linux. По результатам анализа, UTA0137 нацелен на правительственные организации в Индии.

DISGOMOJI, представляющее собой модифицированную версию проекта discord-c2, использует сервис обмена сообщениями Discord для командования и управления. Использование Linux-вредоносного ПО в сочетании с фишинговыми документами необычно, так как оно предполагает наличие пользователей настольных компьютеров Linux. Volexity предполагает, что кампания и DISGOMOJI являются специально направленными на правительственные организации Индии, которые используют дистрибутив Linux под названием BOSS.

В ходе расследования Volexity обнаружила использование UTA0137 эксплойта DirtyPipe на уязвимых системах BOSS 9. Компания Volexity провела детальный анализ вредоносной программы DISGOMOJI, исследуя методы работы злоумышленников, использование сторонних сервисов хранения данных для утечки информации, а также инструменты, применяемые после успешного заражения.

DISGOMOJI, после установки на системе, создает выделенный канал в Discord для каждой жертвы, что позволяет злоумышленнику взаимодействовать с каждой жертвой по отдельности. Вредоносная программа также сохраняет информацию о жертве, такую как IP-адрес, имя пользователя, операционная система и текущий рабочий каталог.

Для обеспечения постоянства в системе DISGOMOJI использует cron и переживает перезагрузку системы, добавляя запись @reboot в crontab. Вредоносная программа также загружает и запускает сценарий uevent_seqnum.sh для проверки наличия USB-устройств и копирования файлов с них в локальную папку системы.

Взаимодействие с DISGOMOJI осуществляется через сервер Discord посредством отправки эмодзи-команд. Злоумышленник может выполнять команды на зараженных устройствах, создавать скриншоты экрана, загружать и скачивать файлы, а также выполнять другие действия.

Indicators of Compromise

SHA1

  • 0d4111ab5471c7f5b909bff336ba8cd66f9d8630
  • 1443e58a298458c30ab91b37c0335bdadbacd756
  • 2dfe824d0298201e0efb30f16b3ce8a409ffe006
  • 3dff44bede709295fffd3ae3e9599f6ab8197af4
  • e1bdb995998ab338fc596777a78121fc49f002b5
  • e5182d13d66c3efaa7676510581d622f98471895
Комментарии: 0
Похожие записи
0
8 месяцев
IOC

StormBamboo APT IOCs

security
В середине 2023 года исследователи из компании Volexity обнаружили несколько инцидентов, в которых StormBamboo, также известный как Evasive Panda, использовал отравление DNS для взлома систем на уровне интернет-провайдеров.
0
10 месяцев
IOC

DISGOMOJI Malware IOCs - Part 2

security
Компания Volexity выявила кампанию кибершпионажа злоумышленника из Пакистана под ником "UTA0137", направленную на индийские правительственные организации с помощью вредоносной программы DISGOMOJI.
0
12 месяцев
IOC, vulnerability

Использование уязвимости неаутентифицированного удаленного выполнения кода в GlobalProtect (CVE-2024-3400)

vulnerability
10 апреля 2024 года компания Volexity обнаружила использование уязвимости нулевого дня в функции GlobalProtect в PAN-OS компании Palo Alto Networks у одного из своих клиентов по мониторингу сетевой безопасности (NSM).