警惕!黑客通过天文望远镜拍摄的图像隐藏恶意软件
安全专家发现了新的恶意软件活动,该活动名为“GO#WEBBFUSCATOR”。主要通过恶意文档、网络钓鱼电子邮件和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。因此,为了保护自身的网络安全,要小心警惕这类恶意软件的传播。
据了解,该恶意软件由 Golang 编写,网络犯罪分子青睐于Golang,因为它具有跨平台的特性(Windows、Linux、Mac)以及对逆向工程和分析的强抵抗力。研究人员发现最近的活动中,攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。
感染链
该恶意软件的感染链,始于一个带有恶意文档“Geos-Rates.docx”的网络钓鱼电子邮件。文档中包含一个经过混淆的 VBS 宏,如果在 Office 套件中启用了宏,该宏会自动执行。然后,代码从远程资源(“xmlschemeformat[.]com”)下载 JPG 图像(“OxB36F8GEEC634.jpg”),使用 certutil.exe 将其解码为可执行文件(“msdllupdate.exe”),然后启动它。
在图像查看器中,这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片。如果使用文本编辑器打开,则会显示伪装成内含证书的额外内容,其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆,而二进制文件使用XOR来隐藏Golang程序集,以防止分析人员发现。除此之外,这些程序集还使用了案例修改来避免安全工具基于签名的检测。
据推断,该可执行程序通过复制到'%localappdata%%microsoft\vault\'并添加一个新的注册表键来实现持久性,之后便与命令和控制(C2)服务器建立了DNS连接,并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。
在测试中,Securonix观察到攻击者在其测试系统上运行任意的枚举命令,这是一个标准侦察步骤的第一步。研究人员指出,用于该活动的域名注册时间较新,最早的注册时间是 2022 年 5 月 29 日。Securonix 提供了一组危害指标 (IoC),其中包括基于网络和主机的指标。
我们如何避免恶意软件的侵害?
1、谨慎使用链接和附件;在使用电子邮件和网络浏览器时采取适当的预防措施以降低感染风险。警惕未经请求的电子邮件附件,并且不要轻易单击电子邮件链接。
2、安装和维护防病毒;防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。
3、安装或启用防火墙;防火墙可以通过在恶意流量进入我们的计算机之前阻止它来防止某些类型的感染。
4、避免使用公共 Wi-Fi:不安全的公共 Wi-Fi 可能允许攻击者拦截我们设备的网络流量并访问我们的个人信息。
恶意软件会中断用户的电脑、手机等设备的正常运行,并造成其他危害。因此,不管是哪种恶意软件,在日常生活中我们都要小心防范。不断地提高网络安全意识,定期备份电脑的系统和数据,留意异常警告,及时修复恢复。
