DISGOMOJI nutzt Discord Emojies zur Kommunikation mit C2 Server

Volexity hat im Juni 2024 eine gezielte Cyber-Espionage-Kampagne aufgedeckt, die von einer mutmaßlich in Pakistan ansässigen Thread Actor Gruppe, bekannt als UTA0137, durchgeführt wird. Diese Gruppe nutzt die speziell entwickelte Linux-Malware DISGOMOJI, um indische Regierungssysteme anzugreifen. DISGOMOJI ist in Golang geschrieben und basiert auf dem Open-Source-Projekt discord-c2, welches den Messaging-Dienst Discord für Command-and-Control (C2) Zwecke nutzt.

Die Malware, die in Form eines ELF-Binaries verbreitet wird, kann durch Phishing-Angriffe auf die Zielsysteme gelangen und nutzt eine Emoji-basierte Kommunikation für C2. Angreifer können mit DISGOMOJI unter anderem Screenshots erstellen, Dateien exfiltrieren und USB-Geräte auslesen. Die Malware bleibt durch persistente Einträge in der crontab aktiv und nutzt zur Datenexfiltration Dienste wie oshi.at und transfer.sh.

UTA0137 setzt auch den DirtyPipe-Exploit (CVE-2022-0847) ein, um auf Systemen der indischen BOSS-Linux-Distribution Root-Rechte zu erlangen. Die Ziele dieser Angriffe sind hauptsächlich indische Regierungsstellen, was auf eine strategische Ausrichtung der Bedrohungsgruppe hinweist.

Volexity empfiehlt, auf verdächtige Aktivitäten auf Linux-Systemen zu achten und entsprechende Sicherheitsmaßnahmen zu ergreifen. Weiterführende technische Details und Indikatoren zur Erkennung sind auf dem GitHub-Profil von Volexity verfügbar.

Related Posts

RCE Schwachstelle in VLC Mediaplayer erfordert sofortiges patchen

Im Juni 2024 wurde eine Sicherheitslücke in VLC Media Player behoben, die Versionen bis einschließlich 3.0.20 betrifft. Die Schwachstelle, identifiziert als VideoLAN-SB-VLC-3021, ermöglicht durch einen integer overflow in einem manipulierten mms-Stream einen Heap-basierten Overflow. Dieser Fehler kann zu einem Denial-of-Service (DoS) führen oder zur Ausführung beliebigen Codes mit den Rechten des Nutzers.

Read More

Chinesische Cyber-Spionage-Kampagne trifft tausende FortiGate Firewalls

10. Juni 2024 – Der niederländische Nationale Cyber Security Center (NCSC) hat zusammen mit dem Militärischen Nachrichtendienst (MIVD) und dem Allgemeinen Nachrichtendienst (AIVD) eine fortgesetzte, staatlich unterstützte chinesische Cyber-Spionage-Kampagne aufgedeckt. Diese Kampagne, die als COATHANGER bekannt ist, nutzt Schwachstellen in FortiGate-Firewalls aus und hat sich als wesentlich umfangreicher erwiesen, als ursprünglich angenommen.

Read More

Windows Wi-Fi Remote Code Execution Schwachstelle betrifft alle Versionen

11. Juni 2024 – Eine gravierende Sicherheitslücke im Wi-Fi-Treiber von Windows ermöglicht es Angreifern, durch speziell gestaltete Netzwerkpakete aus der Nähe schädlichen Code auf betroffenen Systemen auszuführen. Diese Schwachstelle CVE-2024-30078 betrifft alle unterstützten Windows-Versionen und wurde mit einer hohen Schwere von 8.8 auf der CVSS-Skala bewertet.

Read More