GO#WEBBFUSCATOR adlı kalıcı bir Golang tabanlı kötü amaçlı yazılım kampanyası, virüslü sistemlerde kötü amaçlı yükleri dağıtmak için NASA’nın James Webb Uzay Teleskobu’ndan (JWST) alınan derin alan görüntüsünden yararlandı.
tarafından ortaya konan gelişme Securonixprogramlama dilinin platformlar arası desteği göz önüne alındığında, tehdit aktörleri arasında Go’nun giderek artan şekilde benimsendiğini ve operatörlerin farklı işletim sistemlerini hedeflemek için ortak bir kod tabanından yararlanmalarını etkin bir şekilde sağladığına işaret ediyor.
Go ikili dosyaları ayrıca C++ veya C# gibi diğer dillerde yazılmış kötü amaçlı yazılımların aksine analiz ve tersine mühendisliği zorlaştırma avantajına da sahiptir, ayrıca uzun analiz ve algılama girişimlerinden bahsetmeye gerek yok.
Bir Microsoft Office eki içeren kimlik avı e-postaları, açıldığında, gizlenmiş bir VBA makrosunu alan saldırı zinciri için giriş noktası görevi görür ve bu da alıcının makroları etkinleştirmesi durumunda otomatik olarak yürütülür.
Makronun yürütülmesi, görünüşe göre bir görüntü olan “OxB36F8GEEC634.jpg” görüntü dosyasının indirilmesiyle sonuçlanır. İlk Derin Alan JWST tarafından yakalanır, ancak bir metin düzenleyici kullanılarak denetlendiğinde, aslında Base64 ile kodlanmış bir yüktür.
“Görülmemiş [macro] kod yürütülür [a command] OxB36F8GEEC634.jpg adlı bir dosyayı indirecek olan certutil.exe bir ikili dosyaya (msdllupdate.exe) kodunu çözmek ve ardından son olarak yürütmek,” Securonix araştırmacıları D. Iuzvyk, T. Peck ve O. Kolesnikov söz konusu.
1.7 MB boyutunda bir Windows 64-bit yürütülebilir ikili dosyası, yalnızca kötü amaçlı yazılımdan koruma motorlarının radarı altında uçmak için donatılmamış, aynı zamanda bir Golang şaşırtma aracı GitHub’da herkese açık.
Gobfuscate kitaplığı, daha önce arkasındaki aktörler tarafından kullanıldığı şekilde belgelenmiştir. ChaChiPYSA (aka Mespinoza) fidye yazılımı operatörleri tarafından araç setlerinin bir parçası olarak kullanılan bir uzaktan erişim truva atı ve Sliver komut ve kontrol (C2) çerçevesi.
C2 sunucusuyla iletişim, şifreli DNS sorguları ve yanıtları aracılığıyla kolaylaştırılır ve kötü amaçlı yazılımın sunucu tarafından Windows Komut İstemi (cmd.exe) aracılığıyla gönderilen komutları çalıştırmasını sağlar. Kampanya için C2 alan adlarının Mayıs 2022’nin sonlarında kaydedildiği söyleniyor.
Microsoft’un Office uygulamalarında makroları varsayılan olarak engelleme kararı, birçok rakibin haydut LNK ve ISO dosyaları kötü amaçlı yazılım dağıtmak için. GO#WEBBFUSCATOR oyuncularının benzer bir saldırı yöntemini benimseyip benimsemeyeceği henüz belli değil.
Araştırmacılar, “Certutil ile bir Golang ikili dosyası oluşturmak için meşru bir görüntü kullanmak çok yaygın değil” dedi ve ekledi, “ikili programın orijinal yazarının yükü hem bazı önemsiz adli tıp hem de EDR karşıtı algılama metodolojileriyle tasarladığı açık. akılda.”
