تحلیلگران تهدید یک کمپین بدافزار جدید به نام «GO#WEBBFUSCATOR» را مشاهده کردهاند که برایمیلهای فیشینگ، اسناد مخرب و تصاویر فضایی تلسکوپ جیمز وب برای انتشار بدافزار متکی است.
این بدافزار به زبان Golang که در بین مجرمان سایبری محبوبیت پیدا کرده، نوشته شده است. زیرا این بدافزار میان پلتفرمی (ویندوز، لینوکس، مک) است و مقاومت بیشتری در برابر مهندسی معکوس و تجزیه و تحلیل را ارائه میکند.
در کمپین اخیری که توسط محققان Securonix کشف شد، عامل تهدید، payloadهایی را که در حال حاضر توسط موتورهای آنتی ویروس در پلتفرم اسکن VirusTotal به عنوان مخرب علامتگذاری نشدهاند، مستقر میکند.
آلودگی با یک ایمیل فیشینگ با یک سند مخرب پیوست شده،”Geos-Rates.docx” شروع میشود که یک فایل تمپلیت را دانلود میکند.
آن فایل حاوی یک ماکرو VBS مبهم است که در صورت فعال بودن ماکروها در مجموعه آفیس، به صورت خودکار اجرا میشود. سپس کد یک تصویر JPG (“OxB36F8GEEC634.jpg”) را از یک منبع راه دور (“xmlschemeformat[.]com” دانلود میکند، آن را با استفاده از certutil. exe به یک فایل اجرایی (“msdllupdate.exe”) رمزگشایی کرده و راهاندازی میکند.
در یک نمایشگر تصویر، JPG. خوشه کهکشانی SMACS 0723 را نشان میدهد که توسط ناسا در جولای ۲۰۲۲ منتشر شد.
با این حال، اگر با یک ویرایشگر متن باز شود، تصویر محتوای اضافی را نشان میدهد که بهعنوان یک گواهی ارائهشده پنهان شده است، که یک payload با کد Base64 است که به فایل اجرایی مخرب ۶۴ بیتی تبدیل میشود.
رشتههای payload با استفاده از ROT25 بیشتر مبهم میشوند، در حالی که باینری از XOR برای مخفی کردن مجموعههای Golang از تحلیلگران استفاده میکند. علاوه بر این، مجموعهها از تغییر کیس استفاده میکنند تا از تشخیص مبتنی بر امضا توسط ابزارهای امنیتی جلوگیری کنند.
فانکشنهای بدافزار
بر اساس آنچه از تجزیه و تحلیل بدافزار دینامیک استنباط میشود، فایل اجرایی با کپی کردن خود در «%%localappdata%%\\microsoft\\vault» و افزودن کلید رجیستری جدید به ماندگاری دست مییابد.
پس از اجرا، بدافزار یک اتصال DNS به سرور command-and-control (C2) برقرار میکند و پرس و جوهای رمزگذاری شده را ارسال میکند.
مجموعه Securonix در گزارش توضیح میدهد: «پیامهای رمزگذاریشده در سرور C2 خوانده میشوند و رمزگذاری نمیشوند، بنابراین محتوای اصلی آن آشکار میشود. »
“در مورد GO#WEBBFUSCATOR، ارتباط با سرور C2 با استفاده از درخواستهای TXT-DNS با استفاده از درخواستهای nslookup به name server کنترلشده توسط مهاجم اجرا میشود. تمام اطلاعات با استفاده از Base64 کدگذاری شده است.”
سرور C2 ممکن است با تنظیم فواصل زمانی بین درخواستهای اتصال، تغییر زمانبندی nslookup یا ارسال دستوراتی برای اجرا از طریق ابزار cmd.exe به بدافزار پاسخ دهد.
در طول آزمایش، Securonix مشاهده کرد که عاملهای تهدید در سیستمهای آزمایشی خود فرمانهای شمارش دلخواه را اجرا میکردند که اولین مرحله شناسایی استاندارد بود.
محققان خاطرنشان میکنند که دامنههای مورد استفاده برای کمپین اخیراً ثبت شدهاند و قدیمیترین دامنه متعلق به ۲۹ مه ۲۰۲۲ است.
مجموعه Securonix، مجموعهای از شاخصهای خطرآفرینی (IoCs) را ارائه کرده است که شامل هر دو شاخص شبکه و مبتنی بر هاست است.