Tehdit analistleri, kötü amaçlı yazılımı yaymak için James Webb teleskopundan alınan kimlik avı e-postalarına, kötü amaçlı belgelere ve uzay görüntülerine dayanan ‘GO#WEBBFUSCATOR’ adlı yeni bir kötü amaçlı yazılım kampanyası tespit etti.
Kötü amaçlı yazılım, platformlar arası (Windows, Linux, Mac) olduğu için siber suçlular arasında popülerlik kazanan ve tersine mühendislik ve analize karşı artan direnç sunan bir programlama dili olan Golang’da yazılmıştır.
Securonix’teki araştırmacılar tarafından keşfedilen son kampanyada, tehdit aktörü, şu anda virüsten koruma motorları tarafından kötü amaçlı olarak işaretlenmemiş yükleri VirusTotal tarama platformuna bırakıyor.
Enfeksiyon zinciri
Enfeksiyon, bir şablon dosyası indiren kötü amaçlı bir belge olan “Geos-Rates.docx” içeren bir kimlik avı e-postasıyla başlar.
Bu dosya, Office paketinde makrolar etkinleştirilirse otomatik olarak çalışan, karmaşık bir VBS makrosu içerir. Kod daha sonra uzak bir kaynaktan (“xmlschemeformat”) bir JPG görüntüsünü (“OxB36F8GEEC634.jpg”) indirir.[.]com”), certutil.exe kullanarak yürütülebilir bir dosyaya (“msdllupdate.exe”) kodunu çözer ve başlatır.
Bir resim görüntüleyicide, .JPG, NASA tarafından Temmuz 2022’de yayınlanan SMACS 0723 gökada kümesini gösterir.
Bununla birlikte, bir metin düzenleyiciyle açılırsa, görüntü, kötü amaçlı 64 bit yürütülebilir dosyaya dönüşen Base64 kodlu bir yük olan, dahil edilmiş bir sertifika olarak gizlenen ek içeriği ortaya çıkarır.
İkili dosya, Golang derlemelerini analistlerden gizlemek için XOR kullanırken, yükün dizeleri ROT25 kullanılarak daha da gizlenir. Bunun da ötesinde, derlemeler, güvenlik araçları tarafından imza tabanlı algılamayı önlemek için vaka değişikliğini kullanır.
Kötü amaçlı yazılım işlevleri
Dinamik kötü amaçlı yazılım analiziyle elde edilebilecek sonuçlara dayanarak, yürütülebilir dosya kendisini ‘%%localappdata%%\microsoft\vault\’ dizinine kopyalayarak ve yeni bir kayıt defteri anahtarı ekleyerek kalıcılık elde eder.
Yürütülmesinin ardından kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuna bir DNS bağlantısı kurar ve şifreli sorgular gönderir.
“Şifreli mesajlar C2 sunucusunda okunur ve şifrelenmez, böylece orijinal içeriği ortaya çıkar” Raporda Securonix’i açıklıyor.
“GO#WEBBFUSCATOR durumunda, C2 sunucusuyla iletişim, saldırgan kontrollü ad sunucusuna ‘nslookup’ istekleri kullanılarak ‘TXT-DNS’ istekleri kullanılarak gerçekleştirilir. Tüm bilgiler Base64 kullanılarak kodlanmıştır.”
C2, bağlantı istekleri arasındaki zaman aralıklarını ayarlayarak, nslookup zaman aşımını değiştirerek veya Windows cmd.exe aracı aracılığıyla yürütülecek komutlar göndererek kötü amaçlı yazılıma yanıt verebilir.
Test sırasında Securonix, standart bir ilk keşif adımı olan test sistemlerinde rastgele numaralandırma komutları çalıştıran tehdit aktörlerini gözlemledi.
Araştırmacılar, kampanya için kullanılan alan adlarının yakın zamanda, en eskisi 29 Mayıs 2022’de kaydedildiğini belirtiyor.
Securonix, hem ağ hem de ana bilgisayar tabanlı göstergeleri içeren bir dizi uzlaşma göstergesi (IoC) sağlamıştır.