Volexity hat im Juni 2024 eine gezielte Cyber-Espionage-Kampagne aufgedeckt, die von einer mutmaßlich in Pakistan ansässigen Thread Actor Gruppe, bekannt als UTA0137, durchgeführt wird. Diese Gruppe nutzt die speziell entwickelte Linux-Malware DISGOMOJI, um indische Regierungssysteme anzugreifen. DISGOMOJI ist in Golang geschrieben und basiert auf dem Open-Source-Projekt discord-c2, welches den Messaging-Dienst Discord für Command-and-Control (C2) Zwecke nutzt.
Die Malware, die in Form eines ELF-Binaries verbreitet wird, kann durch Phishing-Angriffe auf die Zielsysteme gelangen und nutzt eine Emoji-basierte Kommunikation für C2. Angreifer können mit DISGOMOJI unter anderem Screenshots erstellen, Dateien exfiltrieren und USB-Geräte auslesen. Die Malware bleibt durch persistente Einträge in der crontab aktiv und nutzt zur Datenexfiltration Dienste wie oshi.at und transfer.sh.
UTA0137 setzt auch den DirtyPipe-Exploit (CVE-2022-0847) ein, um auf Systemen der indischen BOSS-Linux-Distribution Root-Rechte zu erlangen. Die Ziele dieser Angriffe sind hauptsächlich indische Regierungsstellen, was auf eine strategische Ausrichtung der Bedrohungsgruppe hinweist.
Volexity empfiehlt, auf verdächtige Aktivitäten auf Linux-Systemen zu achten und entsprechende Sicherheitsmaßnahmen zu ergreifen. Weiterführende technische Details und Indikatoren zur Erkennung sind auf dem GitHub-Profil von Volexity verfügbar.
