تحلیلگران تهدید یک کمپین بدافزار جدید به نام «GO#WEBBFUSCATOR» را مشاهده کرده‌اند که بر‌ایمیل‌های فیشینگ، اسناد مخرب و تصاویر فضایی تلسکوپ جیمز وب برای انتشار بدافزار متکی است.

این بدافزار به زبان Golang  که در بین مجرمان سایبری محبوبیت پیدا کرده، نوشته شده است. زیرا این بدافزار میان پلتفرمی (ویندوز، لینوکس، مک) است و مقاومت بیشتری در برابر مهندسی معکوس و تجزیه و تحلیل را ارائه می‌کند.
در کمپین اخیری که توسط محققان Securonix کشف شد، عامل تهدید، payload‌هایی را که در حال حاضر توسط موتور‌های آنتی ویروس در پلتفرم اسکن VirusTotal به عنوان مخرب علامت‌گذاری نشده‌اند، مستقر می‌کند.

آن فایل حاوی یک ماکرو VBS مبهم است که در صورت فعال بودن ماکرو‌ها در مجموعه آفیس، به صورت خودکار اجرا می‌شود. سپس کد یک تصویر JPG (“OxB36F8GEEC634.jpg”) را از یک منبع راه دور (“xmlschemeformat[.]com” دانلود می‌کند، آن را با استفاده از certutil. exe به یک فایل اجرایی (“msdllupdate.exe”) رمزگشایی کرده و راه‌اندازی می‌کند.

در یک نمایشگر تصویر، JPG. خوشه کهکشانی SMACS 0723 را نشان می‌دهد که توسط ناسا در جولای ۲۰۲۲ منتشر شد.
با این حال، اگر با یک ویرایشگر متن باز شود، تصویر محتوای اضافی را نشان می‌دهد که به‌عنوان یک گواهی ارائه‌شده پنهان شده است، که یک payload با کد Base64 است که به فایل اجرایی مخرب ۶۴ بیتی تبدیل می‌شود.

رشته‌های payload با استفاده از ROT25 بیشتر مبهم می‌شوند، در حالی که باینری از XOR برای مخفی کردن مجموعه‌های Golang از تحلیلگران استفاده می‌کند. علاوه بر این، مجموعه‌ها از تغییر کیس استفاده می‌کنند تا از تشخیص مبتنی بر امضا توسط ابزار‌های امنیتی جلوگیری کنند.

فانکشن‌های بدافزار
بر اساس آنچه از تجزیه و تحلیل بدافزار دینامیک استنباط می‌شود، فایل اجرایی با کپی کردن خود در «%%localappdata%%\\microsoft\\vault» و افزودن کلید رجیستری جدید به ماندگاری دست می‌یابد.
پس از اجرا، بدافزار یک اتصال DNS به سرور command-and-control (C2) برقرار می‌کند و پرس و جو‌های رمزگذاری شده را ارسال می‌کند.
مجموعه Securonix در گزارش توضیح می‌دهد: «پیام‌های رمزگذاری‌شده در سرور C2 خوانده می‌شوند و رمزگذاری نمی‌شوند، بنابراین محتوای اصلی آن آشکار می‌شود. »
“در مورد GO#WEBBFUSCATOR، ارتباط با سرور C2 با استفاده از درخواست‌های TXT-DNS با استفاده از درخواست‌های nslookup به name server کنترل‌شده توسط مهاجم اجرا می‌شود. تمام اطلاعات با استفاده از Base64 کدگذاری شده است.”
سرور C2 ممکن است با تنظیم فواصل زمانی بین درخواست‌های اتصال، تغییر زمان‌بندی nslookup یا ارسال دستوراتی برای اجرا از طریق ابزار cmd.exe به بدافزار پاسخ دهد.
در طول آزمایش، Securonix مشاهده کرد که عامل‌های تهدید در سیستم‌های آزمایشی خود فرمان‌های شمارش دلخواه را اجرا می‌کردند که اولین مرحله شناسایی استاندارد بود.
محققان خاطرنشان می‌کنند که دامنه‌های مورد استفاده برای کمپین اخیراً ثبت شده‌اند و قدیمی‌ترین دامنه متعلق به ۲۹ مه ۲۰۲۲ است.
مجموعه Securonix، مجموعه‌ای از شاخص‌های خطرآفرینی (IoCs) را ارائه کرده است که شامل هر دو شاخص شبکه و مبتنی بر هاست است.

یک خانواده باج‌ افزار جدید به نام Luna می‌تواند برای رمزگذاری دستگاه‌های دارای سیستم عامل‌هایی از جمله سیستم‌های ویندوز، لینوکس و ESXi استفاده شود.

باج‌ افزار Luna که توسط محققان امنیتی Kaspersky از طریق یک تبلیغ انجمن باج‌افزار دارک‌وب که توسط سیستم نظارت فعال اطلاعات Darknet Threat این شرکت شناسایی شده است، کشف شد. به نظر می‌رسد که باج‌افزار Luna به‌طور خاص برای استفاده تنها توسط عوامل تهدید روسی‌زبان طراحی شده است.

کسپرسکی گفت: “در این آگهی آمده است که Luna فقط با وابستگان روسی زبان کار می‌کند. همچنین، یادداشت پیش‌نویسی شده باج در داخل باینری حاوی اشتباهات املایی است.

به همین دلیل، ما با اطمینان متوسط ​​فرض می‌کنیم که بازیگران پشت سر لونا به زبان روسی صحبت می‌کنند.

بدافزار Luna (به روسی ماه) باج‌افزار بسیار ساده‌ای است که هنوز در دست توسعه است و با قابلیت‌های محدود بر اساس گزینه‌های کامند لاین موجود است.

با این حال، از یک طرح رمزگذاری نه چندان رایج استفاده می‌کند، که منحنی بیضوی سریع و ایمن X25519 Diffie-Hellman را با استفاده از Curve25519 با الگوریتم رمزگذاری متقارن رمزگذاری پیشرفته (AES) ترکیب می‌کند.

باج‌ افزار کراس پلتفرمی مبتنی بر Rust
گروهی که پشت این باج‌ افزار جدید قرار دارد، این نوع جدید را در Rust توسعه داده و از ماهیت پلتفرم-آگنوستیک آن برای انتقال آن به پلتفرم‌های متعدد با تغییرات بسیار کمی در سورس‌کد استفاده کرده است.

استفاده از یک زبان بین پلتفرمی همچنین باج‌افزار Luna را قادر می‌سازد تا از تلاش‌های تجزیه و تحلیل کد استاتیک خودکار فرار کرده و بگریزد.

محققان افزودند: “هر دو نمونه لینوکس و ESXi با استفاده از کد منبع یکسان با برخی تغییرات جزئی نسبت به نسخه ویندوز کامپایل شده‌اند. بقیه کد‌ها هیچ تغییر قابل توجهی نسبت به نسخه ویندوز ندارند.”

بدافزار Luna همچنین آخرین روند اتخاذ شده توسط باند‌های جرایم سایبری را تأیید می‌کند که باج‌افزار‌های چند پلتفرمی را توسعه می‌دهند که از زبان‌هایی مانند Rust و Golang برای ایجاد بدافزار‌هایی استفاده می‌کنند که قادر به هدف قرار دادن چندین سیستم عامل بدون تغییر اندک هستند.

کسپرسکی می‌گوید با توجه به اینکه این گروه به تازگی کشف شده و فعالیت‌های آن همچنان تحت نظارت است، داده‌های بسیار کمی در مورد اینکه چه قربانیانی با استفاده از باج‌افزار Luna رمزگذاری شده‌اند، وجود دارد.

دیگر خانواده‌های باج‌افزار جدید
بلیپینگ کامپیوتر در این ماه گزارشی درباره Lilith، باج‌افزار مبتنی بر کنسول C/C++ که دستگاه‌های Windows 64 بیتی را هدف قرار می‌دهد، و 0mega، یک عملیات باج‌افزار جدید که شرکت‌ها را از ماه می‌هدف قرار می‌دهد و میلیون‌ها دلار باج می‌خواهد، منتشر کرد.

و همچنین هر دو به سرقت داده‌ها از شبکه‌های قربانیان قبل از رمزگذاری سیستم‌هایشان برای پشتیبانی از حملات اخاذی مضاعف معروف هستند.