一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度的政府机构
该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与巴基斯坦的威胁行为者“UTA0137”有关
“2024 年，Volexity 发现了一个疑似巴基斯坦威胁行为者开展的网络间谍活动，Volexity 目前以别名 UTA0137 进行追踪，”Volexity 解释道
“Volexity 高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体
根据 Volexity 的分析，UTA0137 的活动似乎取得了成功，”研究人员继续说道
该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许威胁行为者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件
然而，它使用 Discord 和表情符号作为命令和控制 (C2) 平台，这使得该恶意软件从其他恶意软件中脱颖而出，并可以让它绕过寻找基于文本的命令的安全软件
Discord 和表情符号作为 C2据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件
Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS
执行后，恶意软件将下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，以防军官死亡
然而，额外的有效载荷将在后台下载，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据
当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者
为了控制恶意软件，威胁行为者利用开源命令和控制项目discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令
该恶意软件将连接到攻击者控制的 Discord 服务器并等待威胁行为者在频道中输入表情符号
“DISGOMOJI 在 Discord 服务器上的命令通道中监听新消息
C2 通信使用基于表情符号的协议进行，攻击者通过向命令通道发送表情符号向恶意软件发送命令，并在表情符号后附加其他参数（如果适用）
当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中
一旦命令完全处理完毕，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行
”❖ 沃莱克斯蒂九个表情符号用于表示在受感染设备上执行的命令，如下所示
该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性
Volexity 表示，他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本，包括XDG 自动启动条目
一旦设备被攻破，威胁行为者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证
虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物，但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件的检测，这是一种有趣的方法
#网络安全##头条创作挑战赛##国际网络安全热点资讯##数据泄露##安全漏洞##黑客##Linux#