ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьВредоносная программа DISGOMOJI, используемая для атаки на индийское правительство
В июне 2024 года Volexity Threat Research выявила кампанию кибершпионажа, проводимую предполагаемым злоумышленником из Пакистана, отслеживаемым как UTA0137, целью которой были государственные учреждения в Индии. Вредоносная программа DISGOMOJI, используемая в этой кампании, представляет собой модифицированную версию общедоступного проекта discord-c2 и написана на Golang, скомпилирована для систем Linux и используется для обмена данными через Discord с помощью эмодзи. Успех кампании и эксклюзивное использование DISGOMOJI компанией UTA0137 позволяют предположить, что она специально разработана для государственных учреждений Индии, использующих пользовательский дистрибутив Linux под названием BOSS. Вредоносная программа сохраняет постоянство в системе с помощью cron и может пережить перезагрузку, добавив для себя в crontab запись @reboot. Она также динамически извлекает учетные данные Discord и информацию о командном канале с удаленного сервера, что затрудняет Discord нарушение его работы. UTA0137 использует различные варианты вредоносного ПО DISGOMOJI в своих кампаниях, в последней из которых используется ELF с поддержкой UPX, написанный на Golang, который загружает IPR.pdf и IPR.jpg из ordai[.]quest и отображает их пользователю.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://www.volexity.com/blog/2024/06/13/disgomoji-malware-deployed-against-indian-government/
Примеры признаков компромисса:
- clawsindia.in
- 2dfe824d0298201e0efb30f16b3ce8a409ffe006
- 1443e58a298458c30ab91b37c0335bdadbacd756
- https://ordai.quest/ADMIN_CONTROL/BID1.txt
- 3dff44bede709295fffd3ae3e9599f6ab8197af4
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
