眾所周知，美國國家宇航局（NASA）的詹姆斯?韋伯太空望遠(yuǎn)鏡自發(fā)射以來一直為我們?nèi)祟愄峁┝钊藝@為觀止的太空圖像。憑借其卓越的技術(shù)，韋伯太空望遠(yuǎn)鏡可以捕捉到宇宙大爆炸后不久形成的最早期星系的壯觀景象。

據(jù)報(bào)道，黑客們也意識(shí)到了韋伯望遠(yuǎn)鏡所拍攝圖像的受歡迎程度，決定從中牟利。

謹(jǐn)防含有惡意軟件的圖像

安全公司Securonix的安全研究人員已發(fā)現(xiàn)了一起新的基于Golang編程語言的惡意軟件活動(dòng)，該活動(dòng)利用來自韋伯太空望遠(yuǎn)鏡的深空圖像在受感染的設(shè)備上部署惡意軟件。

這起持續(xù)性活動(dòng)名為GO#WEBBFUSCATOR，凸顯了惡意軟件運(yùn)營商日益青睞這種Go編程語言的現(xiàn)狀，可能是由于其跨平臺(tái)支持功能讓黑客可以通過一個(gè)通用代碼庫攻擊不同的操作系統(tǒng)。

攻擊細(xì)節(jié)

三位研究人員D. Iuzvyk、T. Peck和O. Kolesnikov在其報(bào)告中解釋，這起活動(dòng)的原理是發(fā)送含有Geos-Rates.docx這個(gè)Microsoft Office附件的網(wǎng)絡(luò)釣魚電子郵件。該文件作為模板來下載。

這些電子郵件充當(dāng)了攻擊鏈的入口點(diǎn)。打開附件后，如果收件人啟用了宏命令，經(jīng)過混淆處理的VBA宏命令就會(huì)自動(dòng)執(zhí)行。宏命令執(zhí)行后，會(huì)下載一個(gè)名為OxB36F8GEEC634.jpg的圖像文件。

這似乎是韋伯望遠(yuǎn)鏡發(fā)送的第一深空圖像，但實(shí)際上它卻是由Base64編碼的有效載荷。Windows 64位可執(zhí)行二進(jìn)制文件大小為1.7MB。它可以輕松規(guī)避反惡意軟件解決方案，并使用一種名為gobfuscation的手法來利用Golang混淆工具，這個(gè)工具放在GitHub上向公眾開放。

據(jù)研究人員稱，騙子們使用經(jīng)過加密的DNS查詢/響應(yīng)與指控與控制（C2）服務(wù)器進(jìn)行聯(lián)系，惡意軟件可以通過這臺(tái)服務(wù)器接受并運(yùn)行由該服務(wù)器通過Windows命令提示符發(fā)送的命令。

研究人員特別指出：“使用合法圖像用Certutil構(gòu)建Golang二進(jìn)制文件并不是很常見。很顯然，這個(gè)二進(jìn)制文件的原始作者在設(shè)計(jì)有效載荷時(shí)既考慮到了一些簡單的反取證技術(shù)，又考慮到了反端點(diǎn)檢測和響應(yīng)（EDR）檢測方法。

本文翻譯自：https://www.hackread.com/hackers-malware-james-webb-space-telescope-images/如若轉(zhuǎn)載，請注明原文地址。