最近，有關(guān)巴基斯坦威脅行為者監(jiān)視印度政府的新聞屢見報(bào)端。

網(wǎng)絡(luò)安全公司 Volexity 近日發(fā)現(xiàn)有一個(gè)高級(jí)持續(xù)性威脅（APT）利用 Discord 和表情符號(hào)作為命令和控制 （C2） 平臺(tái)在受感染的設(shè)備上執(zhí)行命令，使其繞過尋找基于文本的命令的安全軟件，攻擊了印度的政府機(jī)構(gòu)。該惡意軟件允許威脅行為者執(zhí)行命令、截屏、竊取文件、部署其他有效負(fù)載和搜索文件。

Volexity公司認(rèn)為，該攻擊與與巴基斯坦的威脅行為者“UTA0137”有關(guān)。

Disgomoji惡意軟件分析

據(jù)悉，Disgomoji 是基于 Golang 的開源自動(dòng) Discord-c2 程序的修改版。Discord 是其指揮中心，每個(gè)感染都通過自己的通道進(jìn)行管理。

激活后，Disgomoji 會(huì)向攻擊者發(fā)送基本的系統(tǒng)和用戶信息，然后通過 "cron "工作調(diào)度程序重新啟動(dòng)，建立持久性。它還會(huì)下載并執(zhí)行一個(gè)腳本，用于檢查并竊取連接到主機(jī)系統(tǒng)的 USB 設(shè)備。

Disgomoji 最大的特點(diǎn)是對(duì)初級(jí)用戶十分友好。攻擊者無需使用復(fù)雜的字符串，只需使用基本的表情符號(hào)就能輕松操作。例如，相機(jī)表情符號(hào)表示 Disgomoji 應(yīng)捕獲并上傳受害者設(shè)備的截圖?！盎稹北砬榉?hào)會(huì)告訴程序外泄與某些常見文件類型相匹配的所有文件： CVS、DOC、JPG、PDF、RAR、XLS、ZIP 等。骷髏頭會(huì)終止惡意軟件進(jìn)程。

有些操作需要進(jìn)一步的文本指令。例如，"人肉運(yùn)行 "表情符號(hào)用于執(zhí)行任何類型的命令，它需要一個(gè)額外的參數(shù)來說明命令的具體內(nèi)容。

Volexity 的首席威脅情報(bào)分析師 Tom Lancaster表示：UTA0137 所做的這些表情定制化可能有助于繞過某些檢測(cè)。但表情符號(hào)并不會(huì)對(duì)安全軟件的檢測(cè)產(chǎn)生太大影響。

有很多惡意軟件家族都使用數(shù)字來表示應(yīng)該運(yùn)行哪條命令，而使用數(shù)字來表示運(yùn)行哪條命令并不會(huì)讓安全解決方案比表示相同意思的字符串更難處理。同樣的邏輯也適用于表情符號(hào)。

比表情符號(hào)更令人擔(dān)憂的是，UTA0137 最新利用了一個(gè)古早的 Linux 漏洞。

古早漏洞 Dirty Pipe 被“重啟”

在最近的一次活動(dòng)中，研究人員發(fā)現(xiàn) UTA0137 利用了 CVE-2022-0847，這是一個(gè)CVSS評(píng)分為7.8的高嚴(yán)重性漏洞。該漏洞于兩年前被首次公開，通常被稱為 "Dirty Pipe"，它允許未經(jīng)授權(quán)的用戶在目標(biāo) Linux 系統(tǒng)中升級(jí)并獲得 root 權(quán)限。

截至目前， "BOSS "的 Linux 發(fā)行版仍然會(huì)受到該漏洞的影響，據(jù)悉該版本下載量超過 600 萬次，主要集中在印度。

因此，Lancaster說，除了網(wǎng)絡(luò)監(jiān)控之外，企業(yè)還需要確保其操作系統(tǒng)是最新版本，這樣才能更好地抵御已知的漏洞。

關(guān)于 Disgomoji，他補(bǔ)充說：由于該惡意軟件使用 Discord 進(jìn)行指揮和控制，企業(yè)應(yīng)考慮其用戶是否需要訪問 Discord，如果認(rèn)為沒有必要，可以直接關(guān)閉該訪問功能。