威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。
该恶意软件是用 Golang 编写的,Golang 是一种在网络犯罪分子中越来越受欢迎的编程语言,因为它是跨平台的(Windows、Linux、Mac),并且对逆向工程和分析的抵抗力更强。
在 Securonix 的研究人员最近发现的活动中,攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为恶意的有效负载。
感染链
感染始于一封带有恶意文档“Geos-Rates.docx”的网络钓鱼电子邮件,该文档会下载模板文件。
该文件包含一个经过混淆的 VBS 宏,如果在 Office 套件中启用了宏,该宏会自动执行。然后,代码从远程资源(“xmlschemeformat[.]com”)下载 JPG 图像(“OxB36F8GEEC634.jpg”),使用 certutil.exe 将其解码为可执行文件(“msdllupdate.exe”),然后启动它。
混淆的 VBS 宏(左)和用于下载 JPG 文件的解码命令(右) (Securonix)
在图像查看器中,.JPG 显示了由 NASA 于 2022 年 7 月发布的星系团 SMACS 0723。
但是,如果使用文本编辑器打开,图像会显示伪装成包含证书的附加内容,这是一个 Base64 编码的有效负载,会变成恶意的 64 位可执行文件。
图像查看器(左)和文本编辑器(右)上的相同文件 (Securonix)
有效载荷的字符串使用 ROT25 进一步混淆,而二进制文件使用 XOR 向分析师隐藏 Golang 程序集。最重要的是,程序集使用案例更改来避免安全工具基于签名的检测。
恶意软件功能
根据可以通过动态恶意软件分析推断的内容,可执行文件通过将自身复制到“%%localappdata%%\microsoft\vault\”并添加新的注册表项来实现持久性。
执行后,恶意软件会与命令和控制 (C2) 服务器建立 DNS 连接并发送加密查询。
Securonix 在报告中解释说: “加密的消息在 C2 服务器上被读取和解密,从而揭示了其原始内容。 ”
“在 GO#WEBBFUSCATOR 的情况下,与 C2 服务器的通信是使用 `TXT-DNS` 请求实现的,该请求使用 `nslookup` 请求到攻击者控制的名称服务器。所有信息都使用 Base64 进行编码。”
C2 可以通过设置连接请求之间的时间间隔、更改 nslookup 超时或发送命令以通过 Windows cmd.exe 工具执行来响应恶意软件。
在测试期间,Securonix 观察到威胁参与者在其测试系统上运行任意枚举命令,这是标准的第一个侦察步骤。
研究人员指出,用于该活动的域名是最近注册的,最早的注册时间是 2022 年 5 月 29 日。
Securonix 提供了一组危害指标 (IoC),其中包括基于网络和主机的指标。
