Discord fortsætter med at være en yngleplads for ondsindet aktivitet fra hackere og nu også APT-grupper (Avancerede Vedvarende Trusler).
Den ellers meget populære platform Dicord, bruges hyppigt til at distribuere malware, eksfiltrere data og er et mål for trusselsaktører, der ønsker at stjæle autentificeringsnøgler.
En ny rapport fra Trellix forklarer, at platformen nu også er blevet adopteret af APT-hackere, der misbruger Discord til at målrette kritisk infrastruktur.
Discord ikke i stand til at komme problemet til livs
Trods problemets voksende omfang i de senere år har Discord ikke været i stand til at implementere effektive foranstaltninger til at afskrække cyberkriminelle, håndtere problemet beslutsomt eller i det mindste begrænse det.
Trusselsaktører misbruger Discord på tre måder:
Ved at udnytte dens indholdsleveringsnetværk (CDN) til at distribuere malware
Ændre Discord-klienten for at stjæle adgangskoder og misbruge Discord-webhooks til at stjæle data fra offerets system.
Discords CDN bruges typisk til at levere malware på offerets enhed, hvilket hjælper malware-operatører med at undgå antivirusdetektion og blokeringer, da filerne sendes fra det betroede domæne 'cdn.discordapp.com'. Trellix's data viser, at mindst 10.000 malware-eksempler bruger Discord CDN til at indlæse andentrins nyttelast på systemer, primært malware-indlæsere og generiske indlæser-scripts. De andentrins nyttelast, der hentes gennem Discord's CDN, er primært RedLine-stealer, Vidar, AgentTesla, zgRAT og Raccoon-stealer.
Hvad angår misbruget af Discord-webhooks til datatyveri fra offerets enhed, siger Trellix, at følgende 17 forskellige former for malware har brugt netop denne metode siden august 2021:
- MercurialGrabber
- AgentTesla
- UmbralStealer
- Stealerium
- Sorano
- zgRAT
- SectopRAT
- NjRAT
- Caliber44Stealer
- InvictaStealer
- StormKitty
- TyphonStealer
- DarkComet
- VenomRAT
- GodStealer
- NanocoreRAT
- GrowtopiaStealer
Disse malware "familier" eller typer, vil indsamle legitimationsoplysninger, browser-cookies, kryptokurrency-tegnebøger og anden data fra inficerede systemer og uploade dem til en Discord-server ved hjælp af webhooks.
Realtids-eksfiltrering af data via webhooks
De trusselsaktører, der kontrollerer denne Discord-server, kan derefter indsamle de stjålne datapakker til brug i andre angreb. De største overtrædere for 2023 er Agent Tesla, UmbralStealer, Stealerium og zgRAT, som alle har kørt kampagner i de seneste måneder.
På samme måde som misbruget af Discord's CDN giver platformens webhooks cyberkriminelle en snigende måde at eksfiltrere data på, hvilket gør trafikken tilsyneladende uskyldig over for netværksovervågningsværktøjer.
Desuden er webhooks nemme at opsætte og bruge med minimal kodningsviden, de muliggør realtids-eksfiltrering, er omkostningseffektive og har den ekstra fordel af Discords infrastrukturtilgængelighed og redundans.
Trellix siger nu, at sofistikerede hackergrupper begynder at bruge Discord, især dem der værdsætter misbruget af standardværktøjer, der tillader dem at blande deres aktiviteter med utallige andre, hvilket gør sporing og tilskrivning næsten umulig.
Trellix siger, at afskrækkelsesmidler som begrænset serverkontrol og risikoen for datatab ved lukning af kontoen ikke længere er tilstrækkelige til at forhindre APT'er i at misbruge Discords funktioner.
Forskerne fremhævede et tilfælde, hvor en ukendt APT-gruppe målrettede kritisk infrastruktur i Ukraine ved hjælp af spear-phishing-forsøg.
De ondsindede e-mails indeholder en OneNote-vedhæftning, der udgiver sig for at være fra en non-profit-organisation i Ukraine, som indeholder en integreret knap, der udløser udførelsen af VBS-kode, når den klikkes på. Koden afkoder en række scripts, der etablerer kommunikation med et GitHub-depot for at downloade den endelige nyttelast, som udnytter Discord-webhooks til at eksfiltrere offerdata.
"Den potentielle fare for APT-malware-kampagner, der udnytter Discords funktionaliteter, introducerer et nyt lag af kompleksitet i trusselslandskabet" - Trellix-rapporten
"APTer er kendt for deres sofistikerede og målrettede angreb, og ved at infiltrere bredt anvendte kommunikationsplatforme som Discord kan de effektivt etablere langvarige fodspor inden for netværk, og dermed sætte kritisk infrastruktur og følsomme data i fare."
Selvom APT-misbruget af Discord forbliver begrænset til de indledende rekognoseringsfaser af angrebet, er udviklingen stadig bekymrende.
Desværre gør platformens omfang, den krypterede dataudveksling, den dynamiske karakter af cybertrusler og det faktum, at de misbrugte funktioner tjener legitime formål for de fleste brugere, det næsten umuligt for Discord at adskille det onde fra det gode.
Desuden forhindrer det at udelukke konti, der mistænkes for ondsindet adfærd, ikke ondsindede aktører i at oprette nye og genoptage deres aktiviteter, så problemet sandsynligvis vil forværres i fremtiden.