Hindistan’daki Linux Sistemlerine Discord Tabanlı Malware Saldırısı Gerçekleşti
Linux sistemleri, çoğunlukla sunucularda, bulutta ve hayati önem taşıyan ortamlarda kullanılır. Bu nedenle, genellikle tehdit aktörlerinin saldırılarına maruz kalırlar.
Linux’un geniş kullanımı ve dağıtımı, hizmetleri aksatmak ve hassas verilere erişmek isteyen tehdit aktörleri için onu kazançlı bir hedef haline getiriyor. Discord Tabanlı Malware Saldırısı ile hedef oldular.
Bunun yanı sıra, Linux işletim sisteminin açık kaynaklı yapısı, tehdit aktörlerinin kod tabanını olası güvenlik açıkları açısından kapsamlı bir şekilde analiz etmelerini sağlar.
Volexity’deki siber güvenlik araştırmacıları, geçtiğimiz günlerde Hindistan’daki kuruluşların Linux sistemlerine saldıran Discord tabanlı kötü amaçlı yazılımlar keşfetti.
Teknik Analiz
Hindistan’da, Pakistan merkezli bir tehdit aktörü olduğundan şüphelenilen UTA0137’nin, özel bir Linux kötü amaçlı yazılımı olan DISGOMOJI’yi kullanarak Hindistan hükümetine karşı bir siber casusluk kampanyası yürüttüğü tespit edildi.
Kötü amaçlı yazılım, komut ve kontrol iletişimi için Discord mesajlaşma servisini, emojiler üzerinden kullanmaktadır.
BOSS Linux dağıtımının sahte belgelerinin kullanılması, kampanyanın esas olarak BOSS Linux dağıtımını kullanan kullanıcıları hedeflediğini ortaya koyuyor.
UTA0137, savunmasız BOSS 9 sistemlerinde Kirli Boru (Dirty Pipe) ayrıcalık yükseltme güvenlik açığından (CVE-2022-0847) yararlandı.
Bu kampanya, veri sızıntısı için üçüncü taraf depolama hizmetlerini kullandı ve enfeksiyon sonrası açık kaynaklı araçları kullanarak Hindistan hükümetinin hedeflerine karşı casusluk faaliyetleri yürütmeye olan ilgisini ortaya koydu.
Volexity araştırmacıları, DISGOMOJI kötü amaçlı yazılımını uzak bir sunucudan dağıtmak için zararsız görünen bir lure PDF kullanan UPX ile sıkıştırılmış Golang tabanlı bir ELF dosyasını inceledi.
Bu kötü amaçlı yazılım, mağdur başına özel kanallar kullanarak saldırganın her mağdurla benzersiz bir şekilde etkileşime girmesine olanak tanır.
Sistem ayrıntılarını alır, kullanmaya devam eder, USB’den veri kopyalayabilir ve dosya aktarabilir, dolayısıyla olası bilgi kaybına neden olabilir.
DISGOMOJI, komuta ve kontrol için Discord üzerinde emoji tabanlı bir protokol kullanır. Saldırgan, kötü amaçlı yazılımın işlediği ve onayladığı komutları vermek için emojiler gönderir.
Son kampanyalar, cron ve otomatik başlatma girişleri aracılığıyla kalıcılık ekleyen, bileşenlerini gizleyen ve birden çok örneği önlemek için gelişen ve C2 verilerini dinamik olarak alan DISGOMOJI’yi gizlice getirirken çekici belgeler sunan UPX ile paketlenmiş Golang ELF dosyalarını içerir.
Bağlı USB aygıtlarından veri çalmak için uevent_seqnum.sh
gibi komut dosyaları kullanır.
DISGOMOJI, birden çok örnek çalışıp çalışmadığını kontrol eder ve artık çalışmaz. Esneklik için C2’den dinamik olarak Discord kimlik doğrulama belirteçlerini ve sunucu kimliklerini getirir ve muhtemelen analistleri şaşırtmak için birçok yanıltıcı dize içerir.
İlginizi çekebilecek yazımız: Safari, Microsoft Edge ve DuckDuckGo’da Spoofing Açıkları Ortaya Çıktı.
Sömürü sonrası, UTA0137, Nmap ile ağ taraması yapar, Keski ve Ligolo gibi araçlar kullanır ve Zenity gibi yardımcı programlarla dosya paylaşım hizmetinde sosyal mühendislik kullanarak kullanıcıların şifrelerini ifşa etmelerini sağlar.
Hedeflenen sistemlerde ayrıcalıkları artırmak için DirtyPipe gibi yeni güvenlik açıklarını aktif olarak araştırıyorlar.
Hedefleme kalıpları ve kodlanmış eserler, UTA0137’nin özellikle Hindistan devlet kurumlarına karşı casusluk faaliyetlerinde bulunan Pakistan merkezli bir tehdit aktörü olduğunu gösteriyor.
Haber Kaynağı: Cyber Security News