黑客利用天文望远镜拍摄的图像传播恶意软件JamesWebbTelescope的恶意文档和空间图像传播恶意软件。该恶意软件是用Golang编写的,由于其跨平台特性(Windows、Linux、Mac)以及对逆向工程和分析的抵抗力,它越来越受到网络犯罪分子的青睐。在Securonix的研究人员发现的最近一次活动中,攻击者将有效载荷投放到VirusTotal扫描平台上,这些平台当前未被防病毒引擎标记为病毒。感染链感染始于带有恶意“Geos-Rates”的网络钓鱼电子邮件。宏是自动执行的。代码然后从远程资源(“xmlschemeformat[.]com”)下载JPG图像(“OxB36F8GEEC634.jpg”),使用certutil.exe将其解码为可执行文件(“msdllupdate.exe”)并启动它。使用图像查看器(左)和文本编辑器(右)打开图像文件。在图像查看器中,这是一张2022年7月的图像由NASA的詹姆斯韦伯望远镜发布的星系团SMACS0723,用文本编辑打开浏览器会显示伪装成包含证书的其他内容,这本质上是一个Base64编码的恶意负载。负载的字符串使用ROT25进一步混淆,而二进制文件使用XOR对分析师隐藏Golang程序集。除其他外,这些程序集使用案例修改来避免安全工具基于签名的检测。正如动态恶意软件分析所推断的那样,可执行文件实现了持久性by复制到'%localappdata%%microsoft\vault\'并添加一个新的注册表项,之后它与命令和控制(C2)服务器通信建立DNS连接并发送加密查询。C2可以通过设置连接请求之间的时间间隔、更改nslookup超时时间或通过Windowscmd.exe工具发出执行命令来响应恶意软件。在测试期间,Securonix观察到攻击者在其测试系统上运行任意枚举命令,这是标准侦察程序的第一步。研究人员指出,用于该活动的域名是最近才注册的,最早注册日期是2022年5月29日。Securonix提供了一套妥协指标(IoC),其中包括基于网络和主机的指标。
