Last Updated on 2024-06-18 14:57 by admin
パキスタンのハッカーが、インドの高度に機密性の高い組織をスパイするために、絵文字を悪意のあるコマンドとして使用し、古いDirty Pipe Linuxの欠陥を利用している。このスパイ活動は、UTA0137というグループによって行われており、彼らは「Dirty Pipe」というLinuxカーネルの脆弱性と「Disgomoji」と呼ばれるDiscordベースのマルウェアを使用して、インド政府機関に対するサイバー諜報活動を実施している。
Disgomojiは、オープンソースのGolangベースのdiscord-c2プログラムを改変したもので、Discordをコマンドセンターとして使用し、各感染は独自のチャンネルを通じて管理される。活性化すると、Disgomojiは基本的なシステムとユーザー情報を攻撃者に送信し、”cron”ジョブスケジューラを通じて再起動時の永続性を確立する。また、接続されたUSBデバイスから情報を盗むためのスクリプトをダウンロードして実行する。
Disgomojiの特徴は、複雑な文字列の代わりに基本的な絵文字を使用して攻撃者が指示を出す点にある。例えば、カメラの絵文字はDisgomojiにデバイスのスクリーンショットを撮影してアップロードするよう指示し、火の絵文字は特定の一般的なファイルタイプに一致するすべてのファイルを抽出するよう指示する。ドクロの絵文字はマルウェアプロセスを終了させる。
UTA0137は最近、CVE-2022-0847として知られる高重大度のバグ「Dirty Pipe」を悪用している。このバグは、Linuxシステムで未承認ユーザーがroot権限をエスカレートして取得することを可能にする。Dirty Pipeは2年以上前に初めて公表されたが、インドで600万回以上ダウンロードされている「BOSS」というLinuxディストリビューションに影響を与えている。
【ニュース解説】
パキスタンのハッカーグループ、UTA0137がインドの政府機関を対象にサイバースパイ活動を行っていることが明らかになりました。この活動では、Linuxシステムの既知の脆弱性「Dirty Pipe」と、Discordを利用したマルウェア「Disgomoji」が使用されています。
「Dirty Pipe」とは、Linuxカーネルの脆弱性の一つで、未承認のユーザーがシステム上でroot権限を取得することを可能にします。この脆弱性は2年以上前に公表されており、特にインドで人気のLinuxディストリビューション「BOSS」に影響を与えています。BOSSは600万回以上ダウンロードされており、この脆弱性の影響範囲は広いと言えるでしょう。
一方、「Disgomoji」は、Discordをコマンドセンターとして使用するマルウェアで、オープンソースのGolangベースのdiscord-c2プログラムを改変したものです。感染したシステムはDiscordの独自チャンネルを通じて管理され、基本的なシステム情報の送信、再起動時の永続性の確立、USBデバイスからの情報盗難などが行われます。特徴的なのは、攻撃者が絵文字を使用してマルウェアに指示を出す点です。例えば、カメラの絵文字でスクリーンショットの撮影、火の絵文字でファイルの抽出など、直感的な操作が可能になっています。
このような攻撃手法は、セキュリティソフトウェアによる検出を回避するためのものではなく、むしろ操作の簡便さや楽しさを追求したものと考えられます。しかし、絵文字を使用すること自体が検出を困難にするわけではありません。重要なのは、組織がシステムのアップデートを常に最新の状態に保ち、既知の脆弱性に対して堅牢な対策を講じることです。
また、Discordを利用したコマンド&コントロールサーバーへのアクセスをブロックすることや、Discordの利用が本当に必要かどうかを見直し、不要であればアクセスを制限することも有効な対策となります。特に、UTA0137のようなグループに標的とされる可能性がある組織は、Discordを介した通信の監視を強化し、マルウェア感染の兆候を早期に検出することが重要です。
このニュースは、国家間のサイバー諜報活動がいかに高度化しているかを示しています。また、オープンソースツールや一般的な通信プラットフォームが悪用されるリスクも浮き彫りにしています。サイバーセキュリティは常に進化する脅威に対応するため、技術的な対策だけでなく、組織全体の意識の向上も求められます。
from Emojis Control the Malware in Discord Spy Campaign.
