Les tensions géopolitiques sur le sous-continent indien prennent une nouvelle tournure avec l’implication croissante de la cyberespionnage dans le conflit entre l’Inde et le Pakistan. Une récente étude de la société Volexity révèle une campagne sophistiquée d’attaques informatiques visant des entités gouvernementales indiennes en 2024, orchestrée par un acteur de menace basé au Pakistan utilisant un malware innovant nommé DISGOMOJI.
Analyse de la campagne de cyberespionnage
Le vecteur d’attaque : le phishing ciblé
La campagne commence par des emails de phishing qui délivrent un fichier binaire ELF écrit en Golang, contenu dans une archive ZIP. Ce fichier binaire joue un double rôle : il présente un document leurre pour tromper la victime tout en téléchargeant discrètement le payload DISGOMOJI depuis un serveur distant, marquant ainsi le début d’une intrusion malveillante.
DISGOMOJI : un outil d’espionnage polyvalent
DISGOMOJI est une version personnalisée du projet public Discord-C2 qui utilise le service de messagerie Discord pour le contrôle et la commande (C2) via des emojis, un vecteur inédit dans le domaine de la cybersécurité. Structuré pour capturer les informations du système hôte et exécuter des commandes à partir d’un serveur Discord contrôlé par les attaquants, DISGOMOJI s’adapte dynamiquement pour rendre l’analyse et la détection difficiles.
Tactiques, techniques et procédures
Outils et méthodes d’exploitation
La sophistication de DISGOMOJI est complétée par l’utilisation d’outils légitimes et open-source comme Nmap, Chisel et Ligolo pour le balayage réseau et le tunneling. Une tactique notable implique l’exploitation de la vulnérabilité DirtyPipe (CVE-2022-0847) pour escalader les privilèges sur les hôtes Linux, un aspect critique pour maintenir une présence prolongée dans les systèmes ciblés.
Persistance et évasion
Les variants de DISGOMOJI observés démontrent des améliorations continues avec des capacités pour établir la persistance, empêcher l’exécution de processus DISGOMOJI en doublon, et récupérer les identifiants de connexion au serveur Discord pendant l’exécution et non en amont, camouflant ainsi leur présence contre les mesures défensives.
Cette révélation survient dans un contexte de vigilance accrue en cybersécurité où les attaques ciblées deviennent la norme, érogeant la discrétion et l’impact potentiel de chaque frappe. À CyberCare, cette réalité nous pousse à renforcer notre offre de services de protection contre les menaces cybernétiques et d’audits de sécurité pour aider nos clients à déjouer les attaques avant qu’elles ne compromettent leurs infrastructures critiques.