最近，有關(guān)巴基斯坦威脅行為者監(jiān)視印度政府的新聞屢見報端。

網(wǎng)絡(luò)安全公司 Volexity 近日發(fā)現(xiàn)有一個高級持續(xù)性威脅（APT）利用 Discord 和表情符號作為命令和控制 （C2） 平臺在受感染的設(shè)備上執(zhí)行命令，使其繞過尋找基于文本的命令的安全軟件，攻擊了印度的政府機構(gòu)。該惡意軟件允許威脅行為者執(zhí)行命令、截屏、竊取文件、部署其他有效負載和搜索文件。

Volexity公司認為，該攻擊與與巴基斯坦的威脅行為者“UTA0137”有關(guān)。

Disgomoji惡意軟件分析

據(jù)悉，Disgomoji 是基于 Golang 的開源自動 Discord-c2 程序的修改版。Discord 是其指揮中心，每個感染都通過自己的通道進行管理。

激活后，Disgomoji 會向攻擊者發(fā)送基本的系統(tǒng)和用戶信息，然后通過 "cron "工作調(diào)度程序重新啟動，建立持久性。它還會下載并執(zhí)行一個腳本，用于檢查并竊取連接到主機系統(tǒng)的 USB 設(shè)備。

Disgomoji 最大的特點是對初級用戶十分友好。攻擊者無需使用復(fù)雜的字符串，只需使用基本的表情符號就能輕松操作。例如，相機表情符號表示 Disgomoji 應(yīng)捕獲并上傳受害者設(shè)備的截圖?！盎稹北砬榉枙嬖V程序外泄與某些常見文件類型相匹配的所有文件： CVS、DOC、JPG、PDF、RAR、XLS、ZIP 等。骷髏頭會終止惡意軟件進程。

有些操作需要進一步的文本指令。例如，"人肉運行 "表情符號用于執(zhí)行任何類型的命令，它需要一個額外的參數(shù)來說明命令的具體內(nèi)容。

Volexity 的首席威脅情報分析師 Tom Lancaster表示：UTA0137 所做的這些表情定制化可能有助于繞過某些檢測。但表情符號并不會對安全軟件的檢測產(chǎn)生太大影響。

有很多惡意軟件家族都使用數(shù)字來表示應(yīng)該運行哪條命令，而使用數(shù)字來表示運行哪條命令并不會讓安全解決方案比表示相同意思的字符串更難處理。同樣的邏輯也適用于表情符號。

比表情符號更令人擔(dān)憂的是，UTA0137 最新利用了一個古早的 Linux 漏洞。

古早漏洞 Dirty Pipe 被“重啟”

在最近的一次活動中，研究人員發(fā)現(xiàn) UTA0137 利用了 CVE-2022-0847，這是一個CVSS評分為7.8的高嚴重性漏洞。該漏洞于兩年前被首次公開，通常被稱為 "Dirty Pipe"，它允許未經(jīng)授權(quán)的用戶在目標 Linux 系統(tǒng)中升級并獲得 root 權(quán)限。

截至目前， "BOSS "的 Linux 發(fā)行版仍然會受到該漏洞的影響，據(jù)悉該版本下載量超過 600 萬次，主要集中在印度。

因此，Lancaster說，除了網(wǎng)絡(luò)監(jiān)控之外，企業(yè)還需要確保其操作系統(tǒng)是最新版本，這樣才能更好地抵御已知的漏洞。

關(guān)于 Disgomoji，他補充說：由于該惡意軟件使用 Discord 進行指揮和控制，企業(yè)應(yīng)考慮其用戶是否需要訪問 Discord，如果認為沒有必要，可以直接關(guān)閉該訪問功能。