DISGOMOJI kampány Indiában
2024-ben a Volexity azonosított egy kiberkémkedési kampányt, amelyet egy feltételezett pakisztáni székhelyű fenyegető szereplő folytatott, akit a Volexity jelenleg UTA0137 néven követ nyomon. A közelmúltbeli kampányokban használt rosszindulatú szoftver, amelyet a Volexity DISGOMOJI néven követ nyomon, Golang nyelven íródott és Linux rendszerek kihasználásra tervezték. A Volexity nagy valószínűséggel úgy ítéli meg, hogy az UTA0137 kémkedéssel kapcsolatos célokat tűzött ki maga elé, és az indiai kormányzati szervek ellen irányul. A Volexity elemzése alapján úgy tűnik, hogy az UTA0137 kampányai sikeresek voltak.
Úgy tűnik, hogy a DISGOMOJI-t kizárólag az UTA0137 használja. Ez a nyilvános discord-c2 projekt módosított változata, amely a Discord üzenetküldő szolgáltatást használja parancsnoklásra és irányításra (C2), és a C2 kommunikációhoz emojikat használ. A Linux malware használata a kezdeti hozzáféréshez csalárd dokumentumokkal párosítva (ami adathalászatot sugall) nem szokatlan, mivel a támadó csak akkor tenné ezt, ha tudná, hogy a célpont Linux desktop felhasználó. A Volexity értékelése szerint nagy valószínűséggel ez a kampány és a felhasznált kártevő kifejezetten az indiai kormányzati szerveket célozza, amelyek a BOSS nevű, egyedi Linux-disztribúciót használják napi asztali gépként. A DISGOMOJI malware-re a Blackberry 2024 május 20-i blogbejegyzésében hivatkozott.
A Volexity a vizsgálat során azt is felfedezte, hogy az UTA0137 a DirtyPipe (CVE-2022-0847) exploitot használja a “BOSS 9” rendszerek ellen, amelyekről megállapították, hogy még mindig sebezhetőek ezzel az évekkel ezelőtti exploittal szemben.
A Volexity megosztotta a DISGOMOJI malware elemzését, a támadó tradecraft részleteit, közte az UTA0137 által az adatok kiszivárgásához használt harmadik féltől származó tárolási szolgáltatások használatát, a Linux perzisztencia technikákat, és a sikeres fertőzés után használt nyílt forráskódú eszközöket.