黑客利用天文望远镜拍摄的图像传播恶意软件

安全 应用安全
威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。

据Bleeping Computer网站8月30日消息,威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。

该恶意软件由 Golang 编写,Golang 因其跨平台的特性(Windows、Linux、Mac)以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中,攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。

感染链

感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件,该文档会下载模板文件,其中包含一个经过混淆的 VBS 宏,如果在 Office 套件中启用了宏,该宏会自动执行。之后,该代码从一个远程资源(“xmlschemeformat[.]com”)下载 JPG 图片(“OxB36F8GEEC634.jpg”),使用 certutil.exe 将其解码为可执行文件(“msdllupdate.exe”)并启动。

以图像查看器(左)和文本编辑器(右)打开图片文件

在图像查看器中,这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片,若使用文本编辑器打开,则会显示伪装成内含证书的额外内容,其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆,而二进制文件使用XOR来隐藏Golang程序集,以防止分析人员发现。除此之外,这些程序集还使用了案例修改来避免安全工具基于签名的检测。

根据动态恶意软件分析推断出的情况,该可执行程序通过复制到'%localappdata%%microsoft\vault\'并添加一个新的注册表键来实现持久性,之后便与命令和控制(C2)服务器建立了DNS连接,并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。

在测试过程中,Securonix观察到攻击者在其测试系统上运行任意的枚举命令,这是一个标准侦察步骤的第一步。研究人员指出,用于该活动的域名注册时间较新,最早的注册时间是 2022 年 5 月 29 日。

Securonix 提供了一组危害指标 (IoC),其中包括基于网络和主机的指标。

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2022-09-10 12:08:07

恶意软件Golang编程语言

2014-11-03 16:16:54

黔南大数据时代中国天眼超级计算国际高

2024-10-11 16:52:12

2014-09-23 17:14:39

2015-01-20 11:40:43

2011-09-01 13:42:57

HPC高性能计算超新星

2021-12-07 18:39:19

黑客虚假广告恶意软件

2011-12-12 17:18:53

Autodesk Va光学望远镜

2024-02-19 08:16:40

2013-05-14 10:19:05

大数据互联网删除

2022-12-25 14:04:49

科学

2022-05-05 09:04:33

恶意软件黑客

2020-03-31 10:49:00

黑客Zoom恶意软件

2023-05-04 07:11:29

2012-04-21 19:02:25

黑客Instagram

2022-04-13 12:09:07

黑客木马网络攻击

2022-12-19 10:22:28

科学研究

2020-02-16 11:54:35

网络安全黑客软件

2021-12-06 09:26:03

黑客恶意程序网络攻击

2020-05-18 10:29:39

黑客网络安全疫情
点赞
收藏

51CTO技术栈公众号