هدف قرار گرفتن سیستم‌های لینکوس در هند

به گزارش کارگروه امنیت سایبربان؛ به گفته محققان، سیستم‌های لینوکس (Linux) عمدتاً در سرورها، فضای ابری و محیط‌های حیاتی مستقر می‌شوند. در نتیجه، آنها اغلب توسط حملات عوامل تهدید در معرض خطر قرار می‌گیرند.

این استفاده گسترده و استقرار لینوکس، آن را به یک هدف سودآور برای عوامل تهدید تبدیل کرده که می‌خواهند سرویس‌ها را مختل و به داده‌های حساس دسترسی پیدا کنند.

علاوه بر این، ماهیت منبع‌باز سیستم‌عامل لینوکس به عوامل تهدید این امکان را می‌دهد تا پایگاه کد آن را به طور جامع برای آسیب‌پذیری‌های احتمالی تجزیه و تحلیل کنند.

محققان امنیت سایبری در «Volexity» اخیراً کشف کرده‌اند که بدافزار مبتنی بر «Discord» به سیستم‌های لینوکس سازمان‌ها در هند حمله می‌کند.

تجزیه و تحلیل فنی

کارشناسان معتقدند که گروه هکری «UTA0137»، یک عامل تهدید مظنون مستقر در پاکستان، با استفاده از «DISGOMOJI»، یک بدافزار لینوکس سفارشی، یک کمپین جاسوسی سایبری علیه دولت هند انجام داده است.
برای ارتباطات فرماندهی و کنترل روی ایموجی‌ها، بدافزار از سرویس پیام‌رسانی Discord استفاده می‌کند.

استفاده از اسناد فریبنده توزیع «BOSS Linux» نشان می‌دهد که این کمپین عمدتاً کاربرانی را هدف قرار داده که توزیع BOSS Linux را اجرا می‌کنند.

UTA0137 از آسیب‌پذیری (CVE-2022-0847) افزایش امتیاز «DirtyPipe» در سیستم‌های آسیب‌پذیر BOSS 9 سوءاستفاده کرده است.

این کمپین از خدمات ذخیره‌سازی شخص ثالث برای استخراج داده‌ها و از ابزارهای منبع باز پس از آلودگی استفاده می‌کرد که به نشان دادن علاقه‌اش به انجام فعالیت‌های جاسوسی علیه اهداف دولتی هند کمک کرد.

محققان Volexity یک «ELF» مبتنی بر «Golang» مملو از «UPX» را بررسی کردند که از یک پی‌دی‌اف جذاب ظاهری بی‌ضرر برای توزیع بدافزار DISGOMOJI از یک سرور راه دور استفاده می‌کرده است.

همچنین، این بدافزار از Discord استفاده می‌کند، زیرا از کانال‌های اختصاصی برای هر قربانی استفاده می‌کند و به مهاجم و قربانی اجازه می‌دهد تا به طور منحصربه‌فرد با هم تعامل داشته باشند؛ جزئیات سیستم را دریافت می‌کند، ممکن است داده‌ها را از یو‌اس‌بی کپی کند و می‌تواند فایل‌ها را انتقال دهد، در نتیجه از دست دادن اطلاعات احتمالی را ممکن می‌سازد.

DISGOMOJI از یک پروتکل مبتنی بر ایموجی برای فرماندهی و کنترل بر Discord استفاده می‌کند. مهاجم ایموجی‌ها را می‎‌فرستد تا دستوراتی را صادر کند که بدافزار آنها را پردازش و تأیید می‌کند.

کمپین‌های اخیر شامل ELFهای Golang مملو از UPX است که اسناد فریبنده را ارائه و همزمان DISGOMOJI را به‌طور مخفیانه واکشی می‌کنند که ماندگاری را از طریق ورودی‌های «cron» و «autostart» اضافه، اجزای آن را مبهم و داده‌های فرماندهی و کنترل را به صورت پویا بازیابی می‌کند.

بدافزار همچنین به سرقت داده‌ها از دستگاه های یو‌اس‌بی متصل از طریق اسکریپت‌هایی مانند «uevent_seqnum.sh» ادامه می‌دهد.

DISGOMOJI بررسی می‌کند و در صورت اجرا شدن چندین نمونه از آن خارج می‌شود، اکنون توکن‌های احراز هویت Discord و شناسه‌های سرور را به‌طور پویا از فرماندهی و کنترل برای انعطاف‌پذیری واکشی می‌کند و شامل بسیاری از رشته‌های گمراه‌کننده است که احتمالاً قصد دارند تحلیل‌گران را گیج کنند.

UTA0137 پس از بهره‌برداری از اسکن شبکه با «Nmap»، تونل‌زنی از طریق «Chisel» و «Ligolo»، سرویس اشتراک فایل oshi[.] و مهندسی اجتماعی با ابزارهایی مانند «Zenity» برای فریب کاربران برای فاش کردن رمزهای عبور استفاده می‌کند.

آنها به طور فعال آسیب‌پذیری‌های جدیدی مانند «DirtyPipe» را بررسی می‌کنند تا امتیازات را در سیستم‌های هدف افزایش دهند.

الگوهای هدف‌گیری و مصنوعات رمزگذاری شده نشان می‌دهد که UTA0137 یک عامل تهدید کننده مستقر در پاکستان است که به دنبال جاسوسی، به ویژه علیه نهادهای دولتی هند است.