脅威アクターは、ジェームズ ウェッブ望遠鏡の写真にマルウェアを隠しています

「GO#WEBBFUSCATOR」という名前の新しいマルウェア キャンペーンがセキュリティ研究者によって検出されました。このキャンペーンは、フィッシング メール、悪意のあるドキュメント、ジェームズ ウェッブ望遠鏡からの宇宙画像を利用してマルウェアを拡散させます。

このマルウェアの作成には、プログラミング言語の Golang が使用されています。これはクロスプラットフォーム (Windows、Linux、Mac) の言語であり、エンジニアリングや分析を覆すことに対する耐性が高いため、サイバー犯罪者の間で非常に人気があります。

Securonix の脅威アナリストによって発見された最近のキャンペーンでは、ハッカーは、現時点では VirusTotal スキャン プラットフォーム上のアンチウイルス スイートによって厄介なものとしてマークされていないペイロードをドロップします。

感染連鎖

マルウェアの感染プロセスは、テンプレート ファイルをダウンロードする悪意のあるドキュメント「Geos-Rates.docx」が添付されたフィッシング メールから始まります。

そのファイル内には難読化された VBS マクロがあり、Office スイートでマクロが有効になると自動実行されます。その後、コードは JPG 画像をダウンロードする傾向があります

このファイルには、Office スイートでマクロが有効になっている場合に自動実行される、難読化された VBS マクロが含まれています。次に、このコードは、リモート リソース (「xmlschemeformat[.]com」) から JPG 画像 (「OxB36F8GEEC634.jpg」) をダウンロードし、certutil.exe を使用して実行可能ファイル (「msdllupdate.exe」) にデコードし、起動します。

マルウェアの機能

この実行可能ファイルは、マルウェアの動的分析によって得られた情報から派生したもので、自身を「%%localappdata%%\microsoft\vault\」にコピーし、新しいレジストリ キーを追加することで精力的に活動します。

実行されると、感染はコマンド アンド コントロール (C2) サーバーへの DNS 接続を設定し、暗号化されたクエリを送信します。

Securonix はレポートで、「暗号化されたメッセージが読み込まれ、C2 サーバーで暗号化が解除されるため、元の内容が明らかになる」と説明しています。

マルウェアに対抗するために、C2 は接続要求間の時間間隔を設定したり、nslookup タイムアウトを変更したり、Windows cmd.exe ツールを介して実行するコマンドを送信したりすることがあります。

テスト中、Securonix は、サイバー犯罪者がテスト システムでランダム リスト コマンドを実行していることを確認しました。これは、標準的な最初の調査手順です。

キャンペーンに利用されたドメインは新しく登録されたものであり、2022 年 5 月 29 日に最も古いものであることが研究者によって指摘されました。

セキュリティ侵害の痕跡 (IoC) のセットが Securonix によって提供されており、これにはネットワークとホストベースの両方の痕跡が含まれています。