资安业者Volexity揭露这份诱饵文件相当特别的是,内容看起来有些歪斜,而这样的档案很有可能是将纸本资料扫描而成,但是否有经过光学字元辨识(OCR)处理?研究人员并未进一步说明。
接著,恶意软体会下载第2阶段的酬载vmcoreinfo,此为酬载就是Disgomoji的其中一个处理程序。
研究人员指出,Disgomoji是UPX加壳的ELF档案,并滥用Discord充当C2,骇客很可能是透过discord-c2的程式修改而成。值得留意的是,用于存取Discord伺服器的身分验证凭证及伺服器ID,都写死在ELF档案里。而该恶意软体一旦与伺服器连线,就会为不同的受害电脑建立专属的通道,攻击者可借此与特定受害者互动。
这款恶意程式比较特别的地方在于,攻击者透过表情符号(emoji)向恶意程式发送命令,有时候还会使用参数。而恶意程式也会在处理收到的命令时,回传时钟的符号进行回应。
研究人员公布骇客运用的9种表情符号,这些包含了执行命令、截取萤幕截图、取得受害电脑特定档案、上传档案、打包Firefox的设定,以及搜寻特定格式的文件、图片、压缩档案。
一旦受害电脑成功感染恶意程式,对方就会利用Nmap扫描受害组织的网路环境,并透过Chisel和Ligolo建立网路隧道,而在部分情况下,攻击者还会企图利用名为Zenity的工具,引诱受害者输入密码。
值得留意的是,这些骇客也利用漏洞DirtyPipe(CVE-2022-0847)进行权限提升。