據(jù)Bleeping Computer網(wǎng)站8月30日消息，威脅分析師發(fā)現(xiàn)了一個(gè)名為“GO#WEBBFUSCATOR”的新惡意軟件活動(dòng)，該活動(dòng)依賴網(wǎng)絡(luò)釣魚電子郵件、惡意文檔和來自詹姆斯韋伯望遠(yuǎn)鏡的空間圖像來傳播惡意軟件。

該惡意軟件由 Golang 編寫，Golang 因其跨平臺(tái)的特性（Windows、Linux、Mac）以及對(duì)逆向工程和分析的強(qiáng)抵抗力而越發(fā)得到網(wǎng)絡(luò)犯罪分子的青睞。在 Securonix 的研究人員最近發(fā)現(xiàn)的活動(dòng)中，攻擊者會(huì)在 VirusTotal 掃描平臺(tái)上投放當(dāng)前未被防病毒引擎標(biāo)記為病毒的有效負(fù)載。

感染鏈

感染始于一封帶有“Geos-Rates.docx”惡意文檔的網(wǎng)絡(luò)釣魚電子郵件，該文檔會(huì)下載模板文件，其中包含一個(gè)經(jīng)過混淆的 VBS 宏，如果在 Office 套件中啟用了宏，該宏會(huì)自動(dòng)執(zhí)行。之后，該代碼從一個(gè)遠(yuǎn)程資源（“xmlschemeformat[.]com”）下載 JPG 圖片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 將其解碼為可執(zhí)行文件（“msdllupdate.exe”）并啟動(dòng)。

以圖像查看器（左）和文本編輯器（右）打開圖片文件

在圖像查看器中，這是一張由 NASA 的詹姆斯韋伯望遠(yuǎn)鏡于 2022 年 7 月發(fā)布的星系團(tuán) SMACS 0723圖片，若使用文本編輯器打開，則會(huì)顯示偽裝成內(nèi)含證書的額外內(nèi)容，其本質(zhì)是Base64編碼的惡意有效載荷。有效載荷的字符串使用ROT25進(jìn)一步混淆，而二進(jìn)制文件使用XOR來隱藏Golang程序集，以防止分析人員發(fā)現(xiàn)。除此之外，這些程序集還使用了案例修改來避免安全工具基于簽名的檢測(cè)。

根據(jù)動(dòng)態(tài)惡意軟件分析推斷出的情況，該可執(zhí)行程序通過復(fù)制到'%localappdata%%microsoft\vault\'并添加一個(gè)新的注冊(cè)表鍵來實(shí)現(xiàn)持久性，之后便與命令和控制（C2）服務(wù)器建立了DNS連接，并發(fā)送加密查詢。C2可通過設(shè)置連接請(qǐng)求之間的時(shí)間間隔、更改nslookup超時(shí)或通過Windows cmd.exe工具發(fā)出執(zhí)行命令來響應(yīng)惡意軟件。

在測(cè)試過程中，Securonix觀察到攻擊者在其測(cè)試系統(tǒng)上運(yùn)行任意的枚舉命令，這是一個(gè)標(biāo)準(zhǔn)偵察步驟的第一步。研究人員指出，用于該活動(dòng)的域名注冊(cè)時(shí)間較新，最早的注冊(cè)時(shí)間是 2022 年 5 月 29 日。

Securonix 提供了一組危害指標(biāo) (IoC)，其中包括基于網(wǎng)絡(luò)和主機(jī)的指標(biāo)。