最近，有關巴基斯坦威脅行為者監視印度政府的新聞屢見報端。

網絡安全公司 Volexity 近日發現有一個高級持續性威脅（APT）利用 Discord 和表情符號作為命令和控制 （C2） 平臺在受感染的設備上執行命令，使其繞過尋找基于文本的命令的安全軟件，攻擊了印度的政府機構。該惡意軟件允許威脅行為者執行命令、截屏、竊取文件、部署其他有效負載和搜索文件。

Volexity公司認為，該攻擊與與巴基斯坦的威脅行為者“UTA0137”有關。

Disgomoji惡意軟件分析

據悉，Disgomoji 是基于 Golang 的開源自動 Discord-c2 程序的修改版。Discord 是其指揮中心，每個感染都通過自己的通道進行管理。

激活后，Disgomoji 會向攻擊者發送基本的系統和用戶信息，然后通過 "cron "工作調度程序重新啟動，建立持久性。它還會下載并執行一個腳本，用于檢查并竊取連接到主機系統的 USB 設備。

Disgomoji 最大的特點是對初級用戶十分友好。攻擊者無需使用復雜的字符串，只需使用基本的表情符號就能輕松操作。例如，相機表情符號表示 Disgomoji 應捕獲并上傳受害者設備的截圖。“火”表情符號會告訴程序外泄與某些常見文件類型相匹配的所有文件： CVS、DOC、JPG、PDF、RAR、XLS、ZIP 等。骷髏頭會終止惡意軟件進程。

有些操作需要進一步的文本指令。例如，"人肉運行 "表情符號用于執行任何類型的命令，它需要一個額外的參數來說明命令的具體內容。

Volexity 的首席威脅情報分析師 Tom Lancaster表示：UTA0137 所做的這些表情定制化可能有助于繞過某些檢測。但表情符號并不會對安全軟件的檢測產生太大影響。

有很多惡意軟件家族都使用數字來表示應該運行哪條命令，而使用數字來表示運行哪條命令并不會讓安全解決方案比表示相同意思的字符串更難處理。同樣的邏輯也適用于表情符號。

比表情符號更令人擔憂的是，UTA0137 最新利用了一個古早的 Linux 漏洞。

古早漏洞 Dirty Pipe 被“重啟”

在最近的一次活動中，研究人員發現 UTA0137 利用了 CVE-2022-0847，這是一個CVSS評分為7.8的高嚴重性漏洞。該漏洞于兩年前被首次公開，通常被稱為 "Dirty Pipe"，它允許未經授權的用戶在目標 Linux 系統中升級并獲得 root 權限。

截至目前， "BOSS "的 Linux 發行版仍然會受到該漏洞的影響，據悉該版本下載量超過 600 萬次，主要集中在印度。

因此，Lancaster說，除了網絡監控之外，企業還需要確保其操作系統是最新版本，這樣才能更好地抵御已知的漏洞。

關于 Disgomoji，他補充說：由于該惡意軟件使用 Discord 進行指揮和控制，企業應考慮其用戶是否需要訪問 Discord，如果認為沒有必要，可以直接關閉該訪問功能。