心存不满“跑路删库”致 91.8 万新加坡币损失；|黑客竟能用表情符号控制恶意软件？

 心存不满“跑路删库”致 91.8 万新加坡币损失

6 月 17 日消息，据外媒 CNA 报道，一名任职于新加坡 NCS 集团的印度工程师 Kandula Nagaraju，因被解雇后心生不满而采取了“删库”的报复行动，造成 91.8 万新加坡币（IT之家备注：当前约 493.3 万元人民币）的损失，被判两年零八个月监禁。

据悉，Kandula Nagaraju 在 2021 年 11 月至 2022 年 10 月期间曾任职 NCS 集团质量保证（QA）部。 在 2022 年 11 月 16 日其由于工作表现问题被终止合同。根据法院文件，Kandula Nagaraju 在被解雇时感到“困惑和沮丧”，因为他觉得自己表现良好，并在任职期间为 NCS 做出了“良好贡献”，因此他决定“报复公司”。在 2023 年 Kandula Nagaraju 回到印度后，使用自己的笔记本电脑通过管理员登录凭据在未经授权的情况下访问了 NCS 的系统，并删除了公司的 180 台虚拟服务器。NCS 团队在发现系统无法访问后，意识到服务器已被删除，并于 2023 年 4 月向警方报案，警方调查锁定了 Kandula Nagaraju 为嫌疑人，并在他的笔记本电脑中发现了用于执行删除操作的脚本。2024 年 6 月 10 日，Kandula Nagaraju 因未经授权访问计算机的指控被警方抓获，最终判处两年零八个月监禁，此外他还面临另一项未具名的指控，据称“刑期可能会进一步增加”。

 黑客竟能用表情符号控制恶意软件？

最近，有关巴基斯坦威胁行为者监视印度政府的新闻屡见报端。

网络安全公司 Volexity 近日发现有一个高级持续性威胁（APT）利用 Discord 和表情符号作为命令和控制 （C2） 平台在受感染的设备上执行命令，使其绕过寻找基于文本的命令的安全软件，攻击了印度的政府机构。该恶意软件允许威胁行为者执行命令、截屏、窃取文件、部署其他有效负载和搜索文件。

Volexity公司认为，该攻击与与巴基斯坦的威胁行为者“UTA0137”有关。

Disgomoji恶意软件分析

据悉，Disgomoji 是基于 Golang 的开源自动 Discord-c2 程序的修改版。Discord 是其指挥中心，每个感染都通过自己的通道进行管理。

激活后，Disgomoji 会向攻击者发送基本的系统和用户信息，然后通过 “cron “工作调度程序重新启动，建立持久性。它还会下载并执行一个脚本，用于检查并窃取连接到主机系统的 USB 设备。

Disgomoji 最大的特点是对初级用户十分友好。攻击者无需使用复杂的字符串，只需使用基本的表情符号就能轻松操作。例如，相机表情符号表示 Disgomoji 应捕获并上传受害者设备的截图。“火”表情符号会告诉程序外泄与某些常见文件类型相匹配的所有文件：CVS、DOC、JPG、PDF、RAR、XLS、ZIP 等。骷髅头会终止恶意软件进程。

有些操作需要进一步的文本指令。例如，”人肉运行 “表情符号用于执行任何类型的命令，它需要一个额外的参数来说明命令的具体内容。

Volexity 的首席威胁情报分析师 Tom Lancaster表示：UTA0137 所做的这些表情定制化可能有助于绕过某些检测。但表情符号并不会对安全软件的检测产生太大影响。

有很多恶意软件家族都使用数字来表示应该运行哪条命令，而使用数字来表示运行哪条命令并不会让安全解决方案比表示相同意思的字符串更难处理。同样的逻辑也适用于表情符号。

比表情符号更令人担忧的是，UTA0137 最新利用了一个古早的 Linux 漏洞。

古早漏洞 Dirty Pipe 被“重启”

在最近的一次活动中，研究人员发现 UTA0137 利用了 CVE-2022-0847，这是一个CVSS评分为7.8的高严重性漏洞。该漏洞于两年前被首次公开，通常被称为 “Dirty Pipe”，它允许未经授权的用户在目标 Linux 系统中升级并获得 root 权限。

截至目前， “BOSS “的 Linux 发行版仍然会受到该漏洞的影响，据悉该版本下载量超过 600 万次，主要集中在印度。

因此，Lancaster说，除了网络监控之外，企业还需要确保其操作系统是最新版本，这样才能更好地抵御已知的漏洞。

关于 Disgomoji，他补充说：由于该恶意软件使用 Discord 进行指挥和控制，企业应考虑其用户是否需要访问 Discord，如果认为没有必要，可以直接关闭该访问功能。

文章来源 ：IT之家、freebuf

精彩推荐