DISGOMOJIは、マルウェアの名前です。
このマルウェアは、特定の対象向けに展開されている事象が確認されています。
どういったものなのでしょうか。
- 名前の成分
マルウェアの名前は、DISGOMOJIです。
この名前は、内容をそのまま並べた命名になっています。
DIScordをC2環境として利用し、GOで書かれている、eMOJIがコマンドとなっているマルウェアです。
マルウェアは、まずDiscordのクライアントとして動作します。
そのクライアントに特定の絵文字が到達すると、事前に定義された内容が実行される、といった具合です。 - C2との通信の様子
Discordを環境として絵文字で通信というのは、どういう感じでしょうか。
攻撃者は、走る絵文字と他の文字列がくっついた文字列をDiscordに書き込みます。
そうすると、マルウェアは渡された文字列の絵文字の後ろの部分を侵害環境で実行します。
マルウェアは実行が成功すると、Discordにチェックマークの絵文字を書き込みます。
こういった具合にC2のやり取りが実施されます。
この機能部分は、このマルウェアの作者のオリジナルではありません。
約2年前に公開されたコードをそのまま利用したような格好になっています。 - 動作環境
このマルウェアが動作する環境はLinuxです。 - DISGOMOJIの機能
マルウェアが実行されると、いくつかの活動が侵害環境で実施できるようになります。
走るマークはコマンド実行、カメラマークは侵害環境の画面画像保存、下向き指差しマークは侵害環境からのファイルの取り出し、上向き指差しマークはファイルの送り込み、右向き指差しマークと左向き指差しマークはそれぞれ別のファイル共有サービスへのファイルのアップロード、火のマークは指定拡張子のファイル群の取り出し、といった具合です。
ちなみに、どくろマークが送られると、マルウェアは終了します。
攻撃者は、このマルウェアを使って侵害環境の資格情報を収集します。
そして侵害環境で横展開し、さらなる情報収集を実施します。
マルウェアの機能としてはよくありそうな内容となっていますが、C2部分が他で見ないような仕上がりになっています。
何ということのないものではありますが、既存のセキュリティ製品がC2の通信であると見抜きにくいことを狙ったものなのかもしれませんね。
DISGOMOJI Malware Used to Target Indian Government
https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/
| この記事をシェア |
|
|---|
